خبر

  • تک بورد - پس از انتقاد محققان از برنامه bug bounty ، اپل هنوز در حال بررسی سه iOS 15 صفر روز است

    پس از انتقاد محققان از برنامه bug bounty ، اپل هنوز در حال بررسی سه iOS 15 صفر روز است
    9 روز و 9 ساعت قبل

    چرا اهمیت دارد: هفته گذشته یک محقق چندین سوءاستفاده روز صفر را که هنوز در iOS 15.0 هنوز قابل دسترسی نیستند ، به طور عمومی افشا کرد و مدعی شد که ماه ها به اپل در مورد آسیب پذیری ها هشدار داده بود تا نادیده گرفته شود. اپل به تازگی پاسخ داده است که هنوز در حال تحقیق است ، اگرچه این ممکن است به اندازه برنامه آسیب پذیری اپل به اندازه آسیب پذیری های خود بگوید. این محقق در ادامه از قابلیت فرایند بررسی بر

    دنیس توکارف کد منبع را برای چهار مورد در یک وبلاگ منتشر کرد که سه مورد از آنها هنوز اپل وصله نکرده است. از طریق آنها ، برنامه های مخرب می توانند مواردی مانند اطلاعات WiFi کاربر ، نام کامل مرتبط با Apple ID ، لیست تماس با روش های مختلف پیام رسانی و انواع مختلف فراداده کاربر را افشا کنند. توکاروف چندین بار از ماه آوریل به اپل در مورد سوء استفاده ها اطلاع داد و اخیراً پاسخی دریافت کرد.

    توکارف ایمیل پست اپل را در پست بعدی وبلاگ به اشتراک گذاشت و مادربرد Vice تأیید کرد که ایمیل از طرف اپل آمده است \ 's سرورها.

    "ما پست وبلاگ شما را در مورد این موضوع و سایر گزارشات شما دیدیم. بابت تاخیر در پاسخ به شما عذرخواهی می کنیم " ، در آن آمده است. "ما می خواهیم به شما اطلاع دهیم که ما هنوز در حال بررسی این مسائل هستیم و چگونه می توانیم آنها را برای محافظت از مشتریان بررسی کنیم. مجددا از اینکه وقت خود را برای گزارش این مسائل به ما اختصاص دادید ، سپاسگزاریم ، از کمک شما قدردانی می کنیم. لطفاً در صورت اطلاع به ما اطلاع دهید س questionsالی دارید. "

    بهره برداران خود از طریق برنامه هایی که مراحل گواهینامه اپل را طی می کنند کار می کنند تا وارد App Store شوند به با این حال ، یکی از مشکلات تأخیر در پاسخگویی اپل و همچنین ادعای توکاروف مبنی بر اینکه اپل چهارمین آسیب پذیری را در به روزرسانی قبلی بدون ذکر نام او وصله کرده است ، نحوه انعکاس آن در برنامه پاداش اشکال اپل است.

    امتیازات اشکال می تواند برای محققان بسیار پرسود باشد. در ماه جولای ، مایکروسافت طی سال گذشته بیش از 13 میلیون دلار به محققان از طریق برنامه جایزه اشکال خود اهدا کرد. تابستان گذشته ، اپل 100000 دلار برای کشف اشکال صفر روز به یک محقق اعطا کرد.

    حتی اگر سوء استفاده های Tokarev منتشر شده باشد. برنامه هایی که وارد App Store می شوند ، او همچنین از روند بررسی اپل انتقاد می کند. این پست به جزئیات فنی عمیق می پردازد ، اما به مورد چارلی میلر اشاره می کند ، که توانست در سال 2011 یک برنامه را از فرایند بازبینی اپل مخفی کند که باعث ایجاد یک حفره امنیتی شد. اپل در پاسخ میلر را از فروشگاه برنامه اخراج کرد و توکارف ادعا می کند که از آن زمان تا کنون چیزی تغییر نکرده است.

    آخرین پست وبلاگ توکارف همچنین وضعیتی را نشان می دهد که ممکن است شخصی از یکی از سوء استفاده هایی که منتشر کرده است استفاده کند. افراد دگرباش جنسی این بهره برداری به برنامه اجازه می دهد تا بررسی کند که آیا برنامه دیگری از طریق bundleID روی دستگاه نصب شده است یا خیر. از لحاظ تئوری ، کسی می تواند یک برنامه موجود را با کدی که بررسی می کند آیا کاربر Grindr را بر روی دستگاه خود نصب کرده است ، به روز کند. پست وبلاگ همچنین یک انتقاد کلی از نحوه اداره اپ استور در زمینه رقابت و توانایی شرکت در کنترل گسترش برنامه های کلاهبرداری است.





خبرهای دیگر از امنیت