Apple dokonał przeglądu swojego programu nagród za bezpieczeństwo w 2019 roku, otwierając go dla każdego, zwiększając wypłaty i nie tylko. Jednak w programie pojawiło się sporo krytyka społeczności infosec. Teraz inny badacz bezpieczeństwa podzielił się swoim doświadczeniem, twierdząc, że Apple nie przyznał im kredytu za jedną z zgłoszonych przez nich luki zero-day, która została naprawiona i że istnieją jeszcze trzy inne luki zero-day w iOS 15.
Badacz bezpieczeństwa iluzjaofchaos podzielił się swoim doświadczeniem w kilku post na blogu w tym twierdzenie, że Apple wiedział i ignoruje trzy luki zero-day od marca i są one w iOS 15.
Chcę podzielić się moim frustrującym doświadczeniem z uczestnictwa w programie Apple Security Bounty. Zgłosiłem cztery luki 0-day w tym roku między 10 marca a 4 maja, jak na razie trzy z nich są nadal obecne w najnowszej wersji iOS (15.0) i jeden został naprawiony w 14,7, ale Apple zdecydowało się to ukryć i nie umieszczać na stronie z treściami dotyczącymi bezpieczeństwa. Kiedy się z nimi skonfrontowałem, przeprosili, zapewnili mnie, że stało się to z powodu problemu z przetwarzaniem i obiecali umieścić go na stronie z zawartością bezpieczeństwa następnej aktualizacji. Od tego czasu były trzy wydawnictwa i za każdym razem łamali swoją obietnicę.
Illusionofchaos twierdzi, że ponownie poprosili Apple o wyjaśnienie, w tym o upublicznienie swoich badań – zgodnie z wytycznymi dotyczącymi odpowiedzialnego ujawniania – na co Apple nie odpowiedział.
Dziesięć dni temu poprosiłem o wyjaśnienie i ostrzegłem, że jeśli nie otrzymam wyjaśnienia, upublicznię moje badania. Moja prośba została zignorowana, więc robię to, co obiecałam. Moje działania są zgodne z wytycznymi dotyczącymi odpowiedzialnego ujawniania (Google Project Zero ujawnia podatności w 90 dni po zgłoszeniu ich dostawcy, ZDI – w 120). Czekałem znacznie dłużej, w jednym przypadku nawet pół roku.
Firma illusionofchaos podzieliła się szczegółami dotyczącymi trzech innych luk zero-day, które znaleźli, w tym „Grane 0-dniowe,” “Nehelper Wylicz zainstalowane aplikacje 0-day,” oraz “Nehelper Wifi Info 0-day” w tym kod źródłowy dowodu koncepcji.
Oto przegląd każdego z nich:
Grane 0-dniowe
Każda aplikacja zainstalowana ze sklepu App Store może uzyskiwać dostęp do następujących danych bez pytania użytkownika:
- Adres e-mail Apple ID i powiązane z nim imię i nazwisko
- Token uwierzytelniający Apple ID, który umożliwia dostęp do przynajmniej jednego z punktów końcowych na *.apple.com w imieniu użytkownika
- Pełny dostęp do odczytu systemu plików do bazy danych Core Duet (zawiera listę kontaktów z poczty, SMS-ów, iMessage, aplikacji do przesyłania wiadomości innych firm oraz metadane dotyczące wszystkich interakcji użytkownika z tymi kontaktami (w tym sygnatury czasowe i statystyki), a także niektóre załączniki (takie jak adresy URL i teksty)
- Kompletny dostęp do odczytu systemu plików do bazy danych szybkiego wybierania i bazy danych książki adresowej, w tym zdjęcia kontaktów i inne metadane, takie jak daty utworzenia i modyfikacji (właśnie sprawdziłem na iOS 15 i ten jest niedostępny, więc musiał być ostatnio po cichu naprawiony)
Nehelper Wylicz zainstalowane aplikacje 0-day
Ta luka pozwala dowolnej aplikacji zainstalowanej przez użytkownika określić, czy jakakolwiek aplikacja jest zainstalowana na urządzeniu na podstawie identyfikatora pakietu.
Nehelper Wifi Info 0-day
Punkt końcowy XPC com.apple.nehelper
akceptuje parametr podany przez użytkownika sdk-version
, a jego wartość jest mniejsza lub równa 524288, com.apple.developer.networking.wifi-info
sprawdzanie uprawnień jest pomijane. Dzięki temu każda kwalifikująca się aplikacja (np. posiadająca autoryzację dostępu do lokalizacji) może uzyskać dostęp do informacji Wi-Fi bez wymaganego uprawnienia. Dzieje się tak w -[NEHelperWiFiInfoManager checkIfEntitled:]
w /usr/libexec/nehelper
.
Dwie perspektywy
Cofając się, aby spojrzeć na szerszy obraz, Apple powiedział, że jego program bug bounty to „uciekający sukces”, podczas gdy społeczność infosec podzieliła się różnymi konkretnymi uwagami i obawami dotyczącymi programu. Należą do nich twierdzenia, że Apple nie odpowiedział lub nie odpowiedział szybko, a także, że Apple nie zapłacił za wykryte wady, które spełniają wytyczne programów nagród.
Warto zauważyć, że na początku tego miesiąca dowiedzieliśmy się, że Apple zatrudnił nowego lidera do programu nagród za bezpieczeństwo w celu „zreformowania go”.
FTC: Używamy automatycznych linków partnerskich do zarabiania. Więcej.
Sprawdź 9to5Mac na YouTube, aby uzyskać więcej informacji o Apple: