Foto: mela
Per la maggior parte del 2021, un ricercatore di sicurezza di nome illusionofchaos si è impegnato in una conversazione infruttuosa con Apple per correggere una serie di vulnerabilità che consentono alle app di effettuare chiamate API per estrarre informazioni sull’utente che non dovrebbero essere in grado di.
Venerdì il ricercatore ha annunciato la sua campagna le scoperte, che contiene una vulnerabilità che è stata risolta in iOS 14.7 e tre vulnerabilità senza patch.
I bug corretti includevano Analyticsd e consentivano alle app di accedere ai registri contenenti informazioni mediche, informazioni sull’utilizzo del dispositivo, arresti anomali delle app e informazioni sugli accessori del dispositivo.
Le vulnerabilità non risolte includevano il servizio di gioco che non controllava correttamente l’autorizzazione di Game Center e consentiva l’accesso al database di Core Duet contenente tutti i contatti da posta, SMS, iMessage e alcuni allegati; Email ID Apple, nome completo e almeno un token di accesso apple.com Punto finale. e l’accesso in lettura al database delle chiamate rapide e alla rubrica.
Una vulnerabilità in Nehelper ha consentito a un’app di verificare se era installata un’altra app e un altro bug in Nehelper ha consentito l’accesso non autorizzato alle informazioni Wi-Fi.
Il ricercatore ha affermato che quando Apple ha risolto il problema di Analyticsd, non è stato dato credito, con Apple che ha affermato a luglio che il credito era imminente. A settembre, il ricercatore stava ancora aspettando.
Per ogni vulnerabilità, il ricercatore ha pubblicato il codice proof-of-concept su GitHub.
Sabato, il ricercatore ha ricevuto una risposta da Apple dicendo di aver visto il post sul blog e si è scusato per il ritardo.
“Vogliamo farti sapere che stiamo ancora indagando su questi problemi e su come possiamo affrontarli per proteggere i clienti”, ha detto Apple. “Grazie ancora per aver dedicato del tempo a parlarci di questi problemi e apprezziamo il tuo aiuto. ”
ZDNet ha chiesto ad Apple un commento venerdì, ma stiamo ancora aspettando una risposta.
Durante il fine settimana, sviluppatore cieco lamentato Apple ha classificato come spam un aggiornamento per eseguire una versione accessibile di Hangman su iOS 15.
“La mia app è progettata per i non vedenti e tutti gli altri giochi dell’impiccato che ho visto nell’App Store sono giocabili a metà…15”, ha scritto Oriol Gomez Saints.
“Paura di me, hanno risposto dicendo di sì, ‘Sappiamo che la tua app ha la voce fuori campo’, ehi? La mia app ha la voce fuori campo? Ma sfortunatamente non funziona ancora.”
Nelle prime ore di lunedì mattina, lo sviluppatore ha affermato che Apple aveva approvato l’aggiornamento, ma l’app continuava a violare le linee guida dell’App Store.
Copertura correlata
“Pensatore. Fanatico professionista di Twitter. Introverso certificato. Piantagrane. Esperto di zombi impenitente.”
