Im Jahr 2019 hat Apple hat sein Sicherheitsprämienprogramm für die Öffentlichkeit geöffnet , das Forschern, die kritische iOS-, iPadOS-, macOS-, tvOS- oder watchOS-Sicherheitslücken mit Apple teilen, Auszahlungen von bis zu 1 Million US-Dollar bietet, einschließlich der Techniken zu deren Ausnutzung. Das Programm soll Apple dabei helfen, seine Softwareplattformen so sicher wie möglich zu halten.
In der Zwischenzeit sind Berichte aufgetaucht, die darauf hinweisen, dass einige Sicherheitsforscher sind mit dem Programm unzufrieden , und jetzt hat ein Sicherheitsforscher, der das Pseudonym 'illusionofchaos' verwendet, ihre ähnlich 'frustrierenden Erfahrungen' geteilt.
So synchronisieren Sie meine Nachrichten mit meinem Mac
In einem Blogeintrag hervorgehoben von Kosta Eleftheriou , sagte der namenlose Sicherheitsforscher, dass er Apple zwischen März und Mai dieses Jahres vier Zero-Day-Schwachstellen gemeldet habe, aber sie sagten, dass drei der Schwachstellen noch in iOS 15 vorhanden sind und dass eine in iOS 14.7 behoben wurde, ohne dass Apple ihnen welche gab Kredit.
Ich möchte meine frustrierende Erfahrung mit der Teilnahme am Apple Security Bounty-Programm teilen. Ich habe dieses Jahr zwischen dem 10. März und dem 4. Mai vier 0-Tage-Schwachstellen gemeldet, von denen drei noch in der neuesten iOS-Version (15.0) vorhanden sind und eine in 14.7 behoben wurde, aber Apple hat beschlossen, sie zu vertuschen und nicht auf der Sicherheitsinhaltsseite auflisten. Als ich sie konfrontierte, entschuldigten sie sich, versicherten mir, dass dies auf ein Verarbeitungsproblem zurückzuführen sei, und versprachen, es auf der Seite mit Sicherheitsinhalten des nächsten Updates aufzulisten. Seitdem gab es drei Veröffentlichungen und sie haben jedes Mal ihr Versprechen gebrochen.
Die Person sagte, dass sie Apple letzte Woche gewarnt haben, dass sie ihre Forschung veröffentlichen würden, wenn sie keine Antwort erhalten würde. Sie sagten jedoch, Apple habe die Anfrage ignoriert, was sie dazu veranlasste, die Sicherheitslücken öffentlich zu machen.
iphone xr werksreset mit tasten
Eine der Zero-Day-Schwachstellen betrifft das Game Center und ermöglicht angeblich jeder im App Store installierten App den Zugriff auf einige Benutzerdaten:
- Apple-ID-E-Mail und damit verbundener vollständiger Name
- Apple ID-Authentifizierungstoken, das den Zugriff auf mindestens einen der Endpunkte auf *.apple.com im Namen des Benutzers ermöglicht
- Vollständiger Dateisystem-Lesezugriff auf die Core Duet-Datenbank (enthält eine Liste von Kontakten aus Mail, SMS, iMessage, Messaging-Apps von Drittanbietern und Metadaten über alle Benutzerinteraktionen mit diesen Kontakten (einschließlich Zeitstempel und Statistiken), auch einige Anhänge (wie URLs und Texte)
- Vollständiger Dateisystem-Lesezugriff auf die Kurzwahldatenbank und die Adressbuchdatenbank, einschließlich Kontaktbildern und anderen Metadaten wie Erstellungs- und Änderungsdatum (ich habe gerade auf iOS 15 überprüft und dieses nicht zugänglich, so dass eines kürzlich leise behoben wurde )
Auch die anderen beiden Zero-Day-Schwachstellen, die offenbar noch in iOS 15 vorhanden sind, sowie die in iOS 14.7 gepatchte, werden im Blog-Beitrag detailliert beschrieben.
wie man macbook air 2020 herunterfährt
Apple hat den Blog-Beitrag noch nicht kommentiert. Wir werden diese Geschichte aktualisieren, wenn das Unternehmen antwortet.Verwandte Zusammenfassungen: iOS 15 , iPad 15Klicken Sie sich durch, um insbesondere den Game Center-Exploit zu sehen. Es ist grob. Bei einem funktionierenden Sicherheitsprogramm sollten solche Dinge fast nie durch die Ritzen gehen. Stattdessen ist es bei Apple alltäglich. Das ist so tief gebrochen, aber nichts ändert sich. Was wird es brauchen? — Marco Arment (@marcoarment) 24. September 2021
Beliebte Beiträge