一名安全研究人員不滿蘋果對漏洞處理以及對研究人員的回應態度,於上周公布4個在最新iOS 15的安全漏洞

自稱為IllusionOfChaos的研究人員指出,他在3月到5月間向蘋果通報4項漏洞。根據業界的抓漏獎勵制度,軟體大廠除了應在確認漏洞後於合理時間內修補,並且要在安全公告公開承認回報漏洞的研究人員的貢獻,且提供相應獎金。但是,這名研究人員對蘋果的態度感到失望。在這4漏洞中,蘋果修補了其中一項,但是從頭到尾沒有在安全公告中提及他。更嚴重的是,另3項漏洞一直未修補,連最新推出的iOS 15都還有這批漏洞。

其中已修補的漏洞名為Analyticsd,允許用戶安裝的App存取iPhone或iPad的隱私iOS分析資訊。這些分析資訊位於「設定」>「隱私」>「分析&改善」>「分析資訊」下,該漏洞則允許App在未經同意下逕自存取,不過蘋果已在7月間的iOS/iPadOS 14.7更新版中解決。

問題是,其實在這公告中看不到這漏洞描述,因為蘋果根本沒寫出來,當然也未提及他的名字。蘋果在他找上門理論後說這是處理瑕疵,會在下一版更新中補上資訊。不過蘋果之後連續3次安全更新,包括9月中的iOS 14.8及上周的iOS 15.0,始終沒有履行諾言。

另外3項漏洞則一直未見修補,研究人員認為他已經給蘋果夠多時間了,於是決定公布。他說他等的時間遠遠超過業界安全漏洞的緘默期作法,不論是Google的90天或ZDI的120天。

這3項未修補漏洞如下:Gamed 0-Day,允許Apple Store下載的App非授權存取Apple ID郵件、帳號全名、驗證憑證、讀取Core Duet共享聯絡人資料庫中的資訊、快速撥號資料庫、聯絡人資料庫等。

Nehelper Enumerated 0-day漏洞可使某一App經由bundle ID,判斷裝置上安裝了什麼其他App。Nehelper Wi-Fi 0-day則讓可存取定位資訊的App,逕自使用Wi-Fi網路。

其中又以Gamed 0-Day漏洞較為嚴重。IllusionOfChaos認為根據蘋果的抓漏獎勵標準,這應該是個值10萬美元的漏洞。

iOS 15已經修補了其中可被存取資訊的部分瑕疵。但曾為蘋果開發Apple Watch 鍵盤App FlickType的研究人員Kosta Eleftheriou則證實,Gamed 0-day漏洞仍影響iOS 14.8及iOS 15。

The Register引述資安專家Patrick Wardle指出,這些漏洞雖然嚴重,但不太可能發生,因為有不當存取意圖的App,應該會被在上架App Store前被蘋果審查發現。比較大的問題是,這表示蘋果可能明知有漏洞,卻仍然釋出了iOS 15。

蘋果於周日聯繫研究人員,對延遲回應致歉並感謝他的貢獻,也說該公司正在研究這些漏洞以便解決。

媒體相信,蘋果應該會在近日內釋出iOS 15的更新版。蘋果上周在iOS 15開放下載幾小時內,即已釋出iOS 15.1 beta版解決一些功能瑕疵。


熱門新聞

Advertisement