En 2019, Apple a ouvert son programme de primes de sécurité au public , offrant des paiements allant jusqu'à 1 million de dollars aux chercheurs qui partagent des vulnérabilités critiques de sécurité iOS, iPadOS, macOS, tvOS ou watchOS avec Apple, y compris les techniques utilisées pour les exploiter. Le programme est conçu pour aider Apple à maintenir ses plates-formes logicielles aussi sûres que possible.
Depuis, des rapports ont fait surface indiquant que certains chercheurs en sécurité ne sont pas satisfaits du programme , et maintenant un chercheur en sécurité qui utilise le pseudonyme « illusionofchaos » a partagé leur « expérience frustrante » tout aussi.
la montre apple ne déverrouille pas l'iphone
Dans un article de blog Souligné par Kosta Eleftheriou , le chercheur en sécurité anonyme a déclaré avoir signalé quatre vulnérabilités zero-day à Apple entre mars et mai de cette année, mais ils ont déclaré que trois des vulnérabilités sont toujours présentes dans iOS 15 et que l'une a été corrigée dans iOS 14.7 sans qu'Apple leur en donne crédit.
Je souhaite partager mon expérience frustrante de participation au programme Apple Security Bounty. J'ai signalé quatre vulnérabilités de 0 jour cette année entre le 10 mars et le 4 mai, à ce jour, trois d'entre elles sont toujours présentes dans la dernière version iOS (15.0) et une a été corrigée dans 14.7, mais Apple a décidé de la couvrir et pas le lister sur la page de contenu de sécurité. Lorsque je les ai confrontés, ils se sont excusés, m'ont assuré que cela était dû à un problème de traitement et ont promis de le répertorier sur la page de contenu de sécurité de la prochaine mise à jour. Il y a eu trois sorties depuis lors et ils ont rompu leur promesse à chaque fois.
La personne a déclaré que, la semaine dernière, elle avait averti Apple qu'elle rendrait ses recherches publiques si elle ne recevait pas de réponse. Cependant, ils ont déclaré qu'Apple avait ignoré la demande, les conduisant à divulguer publiquement les vulnérabilités.
comment ajouter Apple tv à l'application domestique
L'une des vulnérabilités zero-day concerne Game Center et permettrait à toute application installée depuis l'App Store d'accéder à certaines données utilisateur :
- E-mail d'identifiant Apple et nom complet qui lui est associé
- Jeton d'authentification Apple ID qui permet d'accéder à au moins un des points de terminaison sur *.apple.com au nom de l'utilisateur
- Accès complet en lecture au système de fichiers à la base de données Core Duet (contient une liste de contacts de Mail, SMS, iMessage, des applications de messagerie tierces et des métadonnées sur toutes les interactions de l'utilisateur avec ces contacts (y compris les horodatages et les statistiques), ainsi que certaines pièces jointes (comme URL et textes)
- Accès complet en lecture au système de fichiers à la base de données Speed Dial et à la base de données du carnet d'adresses, y compris les photos de contact et d'autres métadonnées comme les dates de création et de modification )
Les deux autres vulnérabilités zero-day qui sont apparemment toujours présentes dans iOS 15, ainsi que celle corrigée dans iOS 14.7, sont également détaillées dans le billet de blog.
écran miroir ipad vers apple tv
Apple n'a pas encore commenté le billet de blog. Nous mettrons à jour cette histoire si l'entreprise répond.Rassemblements connexes : iOS 15 , iPad 15Cliquez pour voir l'exploit Game Center en particulier. C'est rude. Des choses comme celle-ci ne devraient presque jamais passer entre les mailles du filet avec un programme de sécurité fonctionnel. Au lieu de cela, avec Apple, c'est monnaie courante. C'est si profondément brisé, pourtant rien ne change. Que faudra-t-il ? – Marco Arment (@marcoarment) 24 septembre 2021
Articles Populaires