关于ios:苹果-iOS-15-仍存在零日安全漏洞100万美元的安全奖励计划受吐槽

60次阅读

共计 1853 个字符,预计需要花费 5 分钟才能阅读完成。

近日,苹果一项高达“100 万美元”的平安处分打算受到了来自匿名平安钻研人员的公开“吐槽”。该匿名人士在最新的博文中,公开对该苹果对于该打算的“搪塞”态度表白不满,一时间引发热议。

据悉,2019 年苹果向公众凋谢了其平安处分打算,为那些和苹果共享 iOS、iPad OS、Mac OS、tv OS 或 Watch OS 要害安全漏洞的钻研人员提供高达 100 万美元的奖金,通过这些破绽技术来晋升自家平台的安全性。

在尔后的工夫里,有报道表明一些平安钻研人员对该打算不称心。本周五,一位笔名为“illusionofchaos”的平安钻研人员就发文分享了这种“令人丧气的经验”。

该平安钻研人员的原文内容如下:

“I want to share my frustrating experience participating in Apple Security Bounty program. I’ve reported four 0-day vulnerabilities this year between March 10 and May 4, as of now three of them are still present in the latest iOS version (15.0) and one was fixed in 14.7, but Apple decided to cover it up and not list it on the security content page. When I confronted them, they apologized, assured me it happened due to a processing issue and promised to list it on the security content page of the next update. There were three releases since then and they broke their promise each time.”

文章中,他和大家分享了加入苹果平安处分打算的“丧气经验”。早在往年 3 月 10 日 -5 月 4 日期间,他报告了四个零天破绽,截至目前,他发现最新的 iOS 15.0 版本中这三个破绽依然存在于(其中一个已在 iOS 14.7 中修复),但苹果却并没有在其平安内容页面上将修复破绽的状况列出来,间接“轻轻”覆盖了这一事实。

当他与苹果方面对质时,苹果向他表白了歉意,称会解决这些问题,并承诺会在下次更新的平安内容页面上将其列出。

但从那以后,苹果公司更新了三次平安内容页面,但一次都没有恪守承诺。

这位钻研人员称,他和支持者们曾经在上周向苹果收回了最初“正告”,如果再收不到对方的回复, 就要把这些安全漏洞的钻研后果公之于众。但很惋惜,苹果间接疏忽这一申请,这才有了开篇他公开发文披露破绽的“吐槽”文章,一时间引发了业内人士的共鸣。

对于这位平安钻研人员的“丧气经验”,开发者 Kosta Eleftheriou 也在本人的博客文章中表白了认识,他强调称“苹果并没有给予他们任何信赖。”

据理解,该名平安钻研人员“illusionofchaos”所披露的其中一个零日破绽,与游戏核心相干,或容许从 App Store 装置的任何利用拜访以下用户数据:

1、Apple ID 电子邮件及其关联的全名;

2、Apple ID 身份验证令牌(容许代表用户拜访 *.Apple.com 上的至多一个端点);

3、对外围 Duet 数据库的残缺文件系统读取拜访(蕴含来自邮件、SMS、iMessage、第三方音讯应用程序的联系人列表,以及所有用户与这些联系人交互的元数据(包含工夫戳和统计数据),以及一些附件(如 URL 和文本);

4、对 Speed Dial 数据库和通讯簿数据库的残缺文件系统读拜访,包含联系人图片和其余元数据,如创立和批改日期(据查看,该内容在 iOS 15 上暂无法访问,仿佛曾经于近期轻轻修复)。

此外,他还在博客文章中具体介绍了另外两个仍存在于 iOS 15 中的零日破绽,以及 iOS 14.7 中被“轻轻”修补的那个破绽。

目前,这件事件曾经引发了不少业内开发者和平安钻研人员的评论。其中有人评论称,一般而言游戏核心的破绽是很“毛糙”的,像这样的事件简直不该在平安程序失常运行的状况下“溜走”。但相同,对于苹果来说,这却是“司空见惯”的事件,看来,“游戏规则”曾经被彻底毁坏了。

对于“illusionofchaos”的这篇“讨伐”博文,苹果方面临时没有发表任何评论。该名钻研人员示意,如果后续苹果有回应的话,他们将对文章内容进行更新。

这件事件最终的走向到底会如何,本站也将继续关注,如果您对此事件有任何认识,也欢送在评论区留言交换。

正文完
 0