2019年、Apple セキュリティバウンティプログラムを公開しました 、iOS、iPadOS、macOS、tvOS、またはwatchOSのセキュリティの重大な脆弱性をAppleと共有する研究者に、それらを悪用するために使用される技術を含め、最大100万ドルの支払いを提供します。このプログラムは、アップルがソフトウェアプラットフォームを可能な限り安全に保つのに役立つように設計されています。
それ以来、次のような報告が浮上しています。 一部のセキュリティ研究者はプログラムに不満を持っています 、そして今、仮名「illusionofchaos」を使用するセキュリティ研究者は、同様に「苛立たしい経験」を共有しています。
Macで絵文字キーボードを入手する方法
で ブログ投稿 強調表示 コスタ・エレフテリオウ 、名前のないセキュリティ研究者は、今年の3月から5月の間に4つのゼロデイ脆弱性をAppleに報告したと述べましたが、3つの脆弱性はiOS 15にまだ存在し、1つはAppleがそれらに与えることなくiOS14.7で修正されたと述べましたクレジット。
Apple SecurityBountyプログラムに参加した私の苛立たしい経験を共有したいと思います。今年3月10日から5月4日までの間に4つのゼロデイ脆弱性を報告しました。現在のところ3つは最新のiOSバージョン(15.0)に存在し、1つは14.7で修正されましたが、Appleはそれをカバーすることにしました。セキュリティコンテンツページにリストしないでください。私が彼らに立ち向かったとき、彼らは謝罪し、それが処理の問題のために起こったことを私に保証し、次のアップデートのセキュリティコンテンツページにそれをリストすることを約束しました。それ以来3回のリリースがあり、毎回約束を破りました。
その人は先週、彼らが返答を受け取らなければ彼らの研究を公表するであろうとアップルに警告したと言った。しかし、彼らはAppleが要求を無視し、脆弱性を公に開示するように導いたと述べた。
凍結したときにiphone12 promaxを再起動する方法
ゼロデイ脆弱性の1つは、Game Centerに関連しており、AppStoreからインストールされたすべてのアプリが一部のユーザーデータにアクセスできるようにするものとされています。
-AppleIDの電子メールとそれに関連付けられたフルネーム
-ユーザーに代わって* .apple.com上のエンドポイントの少なくとも1つにアクセスできるようにするAppleID認証トークン
-コアデュエットデータベースへの完全なファイルシステム読み取りアクセス(メール、SMS、iMessage、サードパーティのメッセージングアプリからの連絡先のリスト、およびこれらの連絡先とのすべてのユーザーの相互作用に関するメタデータ(タイムスタンプと統計を含む)、およびいくつかの添付ファイル( URLとテキスト)
-スピードダイヤルデータベースとアドレスブックデータベースへの完全なファイルシステム読み取りアクセス。連絡先の写真や、作成日や変更日などの他のメタデータが含まれます(iOS 15をチェックしたばかりで、これにはアクセスできないため、最近静かに修正されている必要があります)。
iOS 15にまだ存在していると思われる他の2つのゼロデイ脆弱性、およびiOS 14.7でパッチが適用された脆弱性についても、ブログ投稿で詳しく説明されています。
アプリストアでitunesギフトカードを使用する
Appleはまだブログ投稿にコメントしていません。会社からの返答があれば、このストーリーを更新します。関連するまとめ: iOS 15 、 iPad 15クリックして、特にGameCenterのエクスプロイトを確認してください。ラフです。このようなものは、機能しているセキュリティプログラムで隙間をすり抜けることはほとんどありません。代わりに、Appleではそれは当たり前のことです。それは非常に深く壊れていますが、何も変わりません。何がかかりますか? — Marco Arment(@marcoarment) 2021年9月24日
人気の投稿