Pada tahun 2019, Apple membuka Program Bounty Keselamatannya kepada orang ramai , menawarkan pembayaran sehingga juta kepada penyelidik yang berkongsi kerentanan keselamatan iOS, iPadOS, macOS, tvOS atau watchOS yang kritikal dengan Apple, termasuk teknik yang digunakan untuk mengeksploitasinya. Program ini direka untuk membantu Apple mengekalkan platform perisiannya secepat mungkin.
Sejak itu, laporan telah muncul yang menunjukkan bahawa sesetengah penyelidik keselamatan tidak berpuas hati dengan program ini , dan kini seorang penyelidik keselamatan yang menggunakan nama samaran 'illusionofchaos' telah berkongsi 'pengalaman mengecewakan' mereka yang sama.
bagaimana kitaran kuasa iphone 12
Didalam catatan blog ditonjolkan oleh Kosta Eleftheriou , penyelidik keselamatan yang tidak dinamakan itu berkata mereka melaporkan empat kerentanan sifar hari kepada Apple antara Mac dan Mei tahun ini, tetapi mereka mengatakan bahawa tiga daripada kelemahan itu masih ada dalam iOS 15 dan yang satu itu telah diperbaiki dalam iOS 14.7 tanpa Apple memberi mereka apa-apa. kredit.
Saya ingin berkongsi pengalaman mengecewakan saya menyertai program Apple Security Bounty. Saya telah melaporkan empat kelemahan 0 hari tahun ini antara 10 Mac dan 4 Mei, sehingga kini tiga daripadanya masih ada dalam versi iOS terkini (15.0) dan satu telah diperbaiki dalam 14.7, tetapi Apple memutuskan untuk menutupnya dan tidak menyenaraikannya pada halaman kandungan keselamatan. Apabila saya berhadapan dengan mereka, mereka meminta maaf, meyakinkan saya ia berlaku disebabkan isu pemprosesan dan berjanji untuk menyenaraikannya pada halaman kandungan keselamatan kemas kini seterusnya. Terdapat tiga keluaran sejak itu dan mereka mungkir janji setiap kali.
Orang itu berkata bahawa, minggu lepas, mereka memberi amaran kepada Apple bahawa mereka akan membuat penyelidikan mereka kepada umum jika mereka tidak menerima respons. Bagaimanapun, mereka berkata Apple tidak mengendahkan permintaan itu, menyebabkan mereka mendedahkan kelemahan itu secara terbuka.
bagaimana untuk menyediakan airpods sekali lagi
Salah satu kelemahan sifar hari berkaitan dengan Pusat Permainan dan didakwa membenarkan mana-mana apl yang dipasang daripada App Store untuk mengakses beberapa data pengguna:
- E-mel Apple ID dan nama penuh yang dikaitkan dengannya
- Token pengesahan ID Apple yang membenarkan untuk mengakses sekurang-kurangnya satu daripada titik akhir pada *.apple.com bagi pihak pengguna
- Akses baca sistem fail lengkap ke pangkalan data Core Duet (mengandungi senarai kenalan daripada Mel, SMS, iMessage, aplikasi pemesejan pihak ketiga dan metadata tentang semua interaksi pengguna dengan kenalan ini (termasuk cap masa dan statistik), juga beberapa lampiran (seperti URL dan teks)
- Akses baca sistem fail lengkap ke pangkalan data Dail Cepat dan pangkalan data Buku Alamat termasuk gambar kenalan dan metadata lain seperti tarikh penciptaan dan pengubahsuaian (Saya baru sahaja menyemak pada iOS 15 dan yang ini tidak boleh diakses, jadi yang mesti telah dibetulkan secara senyap baru-baru ini )
Dua lagi kelemahan sifar hari yang nampaknya masih ada dalam iOS 15, serta yang ditampal dalam iOS 14.7, juga diperincikan dalam catatan blog.
apa gunanya jam tangan epal
Apple masih belum mengulas mengenai catatan blog itu. Kami akan mengemas kini cerita ini jika syarikat bertindak balas.Roundup Berkaitan: iOS 15 , iPad 15Klik untuk melihat eksploitasi Pusat Permainan khususnya. Ia kasar. Perkara seperti ini hampir tidak boleh terlepas daripada celah-celah dengan program keselamatan yang berfungsi. Sebaliknya, dengan Apple, ia adalah perkara biasa. Itu sangat hancur, namun tiada apa yang berubah. Apa yang diperlukan? — Marco Arment (@marcoarment) 24 September 2021
Jawatan Popular