בשנת 2019, אפל פתח את תוכנית ה-Security Bounty שלה לציבור , מציע תשלומים של עד מיליון דולר לחוקרים שחולקים עם אפל פרצות אבטחה קריטיות של iOS, iPadOS, macOS, tvOS או watchOS, כולל הטכניקות המשמשות לניצול אותן. התוכנית נועדה לעזור לאפל לשמור על פלטפורמות התוכנה שלה בטוחות ככל האפשר.
בזמן שחלפו מאז, צצו דיווחים המצביעים על כך כמה חוקרי אבטחה אינם מרוצים מהתוכנית , וכעת חוקר אבטחה שמשתמש בשם הבדוי 'illusionofchaos' שיתף את 'החוויה המתסכלת' הדומה שלהם.
כיצד להפעיל מחדש את האייפון 11 במהירות
ב פוסט בבלוג מודגש מאת קוסטה אלפת'ריו , חוקר האבטחה האלמוני אמר שהם דיווחו לאפל על ארבע נקודות תורפה של יום אפס בין מרץ למאי השנה, אבל הם אמרו ששלוש מהחולשות עדיין קיימות ב-iOS 15 ושאחת תוקנה ב-iOS 14.7 מבלי שאפל נתנה להם שום נקודות תורפה. אַשׁרַאי.
אני רוצה לחלוק את החוויה המתסכלת שלי בהשתתפות בתוכנית Apple Security Bounty. דיווחתי על ארבע נקודות תורפה של 0 ימים השנה בין ה-10 במרץ ל-4 במאי, נכון לעכשיו שלוש מהן עדיין קיימות בגרסת ה-iOS העדכנית ביותר (15.0) ואחת תוקנה ב-14.7, אבל אפל החליטה לכסות את זה. לא לרשום אותו בדף תוכן האבטחה. כשהתעמתתי איתם, הם התנצלו, הבטיחו לי שזה קרה בגלל בעיית עיבוד והבטיחו לרשום זאת בדף תוכן האבטחה של העדכון הבא. היו שלושה מהדורות מאז והם הפרו את הבטחתם בכל פעם.
האדם אמר שבשבוע שעבר הזהירו את אפל שהם יפרסמו את המחקר שלהם לציבור אם לא יקבלו תגובה. עם זאת, הם אמרו שאפל התעלמה מהבקשה, מה שהוביל אותם לחשוף בפומבי את נקודות התורפה.
iphone 12 pro max price apple store
אחת מנקודות התורפה של יום האפס מתייחסת ל-Game Center ולכאורה מאפשרת לכל אפליקציה המותקנת מ-App Store לגשת לכמה נתוני משתמש:
- אימייל של Apple ID והשם המלא המשויכים אליו
- אסימון אימות Apple ID המאפשר גישה לפחות לאחת מנקודות הקצה ב-*.apple.com בשם המשתמש
- גישת קריאה מלאה של מערכת קבצים למסד הנתונים Core Duet (מכיל רשימה של אנשי קשר מ- Mail, SMS, iMessage, יישומי הודעות של צד שלישי ומטא נתונים לגבי כל האינטראקציה של המשתמש עם אנשי הקשר הללו (כולל חותמות זמן וסטטיסטיקות), גם כמה קבצים מצורפים (כמו כתובות אתרים וטקסטים)
- גישת קריאה מלאה של מערכת הקבצים למסד הנתונים של החיוג המהיר ולמסד הנתונים של פנקס הכתובות, כולל תמונות אנשי קשר ומטא נתונים אחרים כמו תאריכי יצירה ושינוי (זה עתה בדקתי על iOS 15 וזה לא נגיש, כך שבטח תוקן אותם בשקט לאחרונה )
שתי נקודות התורפה האחרות של יום אפס שכנראה עדיין קיימות ב-iOS 15, כמו גם זו שתוקנה ב-iOS 14.7, מפורטות גם הן בפוסט בבלוג.
גודל ipad air לעומת ipad pro
אפל עדיין לא הגיבה לפוסט בבלוג. נעדכן את הסיפור הזה אם החברה תגיב.סיכום קשור: iOS 15 , אייפד 15לחץ כדי לראות את ניצול מרכז המשחקים במיוחד. זה גס. דברים כאלה כמעט אף פעם לא צריכים לחמוק בין הסדקים עם תוכנית אבטחה מתפקדת. במקום זאת, עם אפל, זה דבר שבשגרה. זה כל כך שבור, אבל שום דבר לא משתנה. מה זה ייקח? — מרקו ארמנט (@marcoarment) 24 בספטמבר 2021
רשום פופולרי