其他
苹果安全赏金计划玩大了!研究人员怒发其未修复漏洞的源代码
来源丨开源最前线(ID:OpenSourceTop) 猿妹 整编
综合自:https://finance.ettoday.net/news/2089258、https://www.newsdirectory3.com/security-researchers-announce-three-zero-day-vulnerabilities-in-ios-15-because-apples-bug-reward-program-isnt-working-gigazine/
近日,一名安全研究人员爆料,半年前他就向苹果提交了4项影响iOS系统的安全漏洞,但截至上周释出的iOS 15,苹果仅更新了1项漏洞,代表iOS 15中还存在着3个安全漏洞。
根据苹果的安全漏洞奖赏计划,只要研究人员抓出漏洞,并提交给苹果,就可获得相对应的奖金,并且苹果会在「安全公告」中提及研究人员的贡献,但illusionofchaos指出,苹果没有在安全公告中提到他,也迟迟没有修补3项漏洞,让他感到相当失望。
于是,illusionofchaos向苹果下了最后通牒,若再等不到合理解释,就要公布这3项漏洞,他认为他等待的时间已远超过业界的缄默期,例如Google的90天或ZDI的120天。
因此,illusionofchaos爆料,3项未被修补的漏洞分别是Gamed 0-day、Nehelper Enumerate Installed Apps 0-day及Nehelper Wifi Info 0-day。
其中,最严重的为Gamed 0-day,从Apple Store安装的任何应用程序,都可以在未经用户许可之下,存取Apple ID电子邮件、账号全名、身分验证、Core Duet 数据库等资料。
Nehelper Enumerate Installed Apps 0-day可使某一应用程序经由Bundle ID,判断装置上安装了什么应用程序;Nehelper Wifi Info 0-day则让可存取定位信息的应用程序,擅自使用Wifi网络 。
漏洞被披露后,苹果也对illusionofchaos进行了回应,以下是回应内容:
“我们已经看到你关于这个问题的博文和你的其他报告。对于延迟回复您,我们深表歉意,”目前,我们仍在调查这些问题,以及我们如何解决这些问题以保护客户。再次感谢您抽出时间向我们报告这些问题,我们感谢您的帮助。如果你有问题,请告诉我们。
点分享
点点赞
点在看