高防服务器
  • 电 话:400-808-5836
  • MSN :huad@live.com
  • 客服QQ:4698328 9291215
  • 咨询邮箱:sales@fobhost.com
  • 售后:services@fobhost.com
  • 网 址:https://www.gaofangfuwuqi.cn/
    • 首页 新闻资讯 新闻资讯 苹果 iOS 15 仍存在 3 个零日安全漏洞,100万美元安全奖励计划受开发者“吐槽”

    苹果 iOS 15 仍存在 3 个零日安全漏洞,100万美元安全奖励计划受开发者“吐槽”

    近日,苹果一项高达“100万美元”的安全奖励计划受到了来自匿名安全研究人士的公开“吐槽”。该匿名人士在最新的博文中,对苹果对于此计划的“敷衍”态度表达不满,一时间引发热议。

    据悉,2019 年苹果向公众开放了其安全奖励计划,为那些和苹果共享 iOS、iPad OS、Mac OS、tv OS 或 Watch OS 关键安全漏洞的研究人员提供高达100万美元的奖金,通过这些漏洞技术来提升自家平台的安全性。

    在此后的时间里,有报道表明一些安全研究人员对该计划不满意。本周五,一位笔名为 “illusionofchaos” 的安全研究人员就发文分享了这种“令人沮丧的经历”。

    该安全研究人员的原文内容如下:

    “I want to share my frustrating experience participating in Apple Security Bounty program. I’ve reported four 0-day vulnerabilities this year between March 10 and May 4, as of now three of them are still present in the latest iOS version (15.0) and one was fixed in 14.7, but Apple decided to cover it up and not list it on the security content page. When I confronted them, they apologized, assured me it happened due to a processing issue and promised to list it on the security content page of the next update. There were three releases since then and they broke their promise each time.”

    文章中,他和大家分享了参加苹果安全奖励计划的“沮丧经历”。早在今年 3 月 10 日-5 月 4 日期间,他就报告了四个零日漏洞(“零日漏洞”(zero-day)又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞。)截至目前,他发现最新的 iOS 15.0版本中这三个漏洞仍然存在(其中一个已在 iOS 14.7 中修复),但苹果却并没有在其安全内容页面上将修复漏洞的情况列出来,直接“悄悄”掩盖了这一事实。

    当他与苹果方面对质时,苹果向他表达了歉意,称会处理这些问题,并承诺会在下次更新的安全内容页面上将其列出。

    但从那以后,苹果公司更新了三次安全内容页面,却一次都没有遵守承诺。

    这位研究人员称,他和支持者们已经在上周向苹果发出了最后“警告”,如果再收不到对方的回复,就要把这些安全漏洞的研究结果公之于众。但很可惜,苹果直接忽略这一请求,这才有了开篇他公开发文披露漏洞的“吐槽”文章,一时间引发了业内人士的共鸣。

    对于这位安全研究人员的“沮丧经历”,开发者 Kosta Eleftheriou 也在自己的博客文章中表达了看法,他强调称“苹果并没有给予他们任何信任。”

    据了解,该名安全研究人员“illusionofchaos”所披露的其中一个零日漏洞,与游戏中心相关,或允许从 App Store 安装的任何应用访问以下用户数据:

    1、Apple ID 电子邮件及其关联的全名;

    2、Apple ID 身份验证令牌(允许代表用户访问*.Apple.com 上的至少一个端点);

    3、对核心 Duet 数据库的完整文件系统读取访问(包含来自邮件、SMS、iMessage、第三方消息应用程序的联系人列表,以及所有用户与这些联系人交互的元数据(包括时间戳和统计数据),以及一些附件(如 URL 和文本);

    4、对 Speed Dial 数据库和通讯簿数据库的完整文件系统读访问,包括联系人图片和其他元数据,如创建和修改日期(据检查,该内容在 iOS 15 上暂无法访问,似乎已经于近期悄悄修复)。

    此外,他还在博客文章中详细介绍了另外两个仍存在于 iOS 15 中的零日漏洞,以及 iOS 14.7 中被“悄悄”修补的那个漏洞。

    目前,这件事件已经引发了不少业内开发者和安全研究人员的评论。其中有人评论称,一般而言游戏中心的漏洞是很“粗糙”的,像这样的事情几乎不该在安全程序正常运行的情况下“溜走”。但相反,对于苹果来说,这却是“司空见惯”的事情,看来,“游戏规则”已经被彻底破坏了。

    对于“illusionofchaos”的这篇“讨伐”博文,苹果方面暂时没有发表任何评论。该名研究人员表示,如果后续苹果有回应的话,他们将对文章内容进行更新。

    这件事情最终的走向究竟会如何,本站也将持续关注,如果您对此事件有任何看法,也欢迎在评论区留言交流。

    参考链接:
    https://www.macrumors.com/202…

    [温馨提示:高防服务器能助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。]

    [图文来源于网络,不代表本站立场,如有侵权,请联系高防服务器网删除]