ในปี 2019 Apple เปิดโครงการ Security Bounty สู่สาธารณะ โดยเสนอการจ่ายเงินสูงถึง 1 ล้านดอลลาร์แก่นักวิจัยที่แชร์ช่องโหว่ด้านความปลอดภัย iOS, iPadOS, macOS, tvOS หรือ watchOS ที่สำคัญกับ Apple รวมถึงเทคนิคที่ใช้ในการใช้ประโยชน์จากช่องโหว่เหล่านี้ โปรแกรมนี้ได้รับการออกแบบมาเพื่อช่วยให้ Apple รักษาแพลตฟอร์มซอฟต์แวร์ของตนให้ปลอดภัยที่สุด
ในช่วงเวลาตั้งแต่นั้นมา มีรายงานระบุว่า นักวิจัยด้านความปลอดภัยบางคนไม่พอใจกับโปรแกรม และตอนนี้นักวิจัยด้านความปลอดภัยที่ใช้นามแฝง 'illusionofchaos' ได้แบ่งปัน 'ประสบการณ์ที่น่าผิดหวัง' ในทำนองเดียวกัน
ทำไม iphone ของฉันถึงเงียบโทร
ใน โพสต์บล็อก เน้น โดย Kosta Eleftheriou นักวิจัยด้านความปลอดภัยที่ไม่เปิดเผยชื่อกล่าวว่าพวกเขารายงานช่องโหว่ซีโร่เดย์สี่รายการต่อ Apple ระหว่างเดือนมีนาคมถึงพฤษภาคมของปีนี้ แต่พวกเขากล่าวว่าช่องโหว่สามรายการยังคงมีอยู่ใน iOS 15 และหนึ่งรายการได้รับการแก้ไขใน iOS 14.7 โดยที่ Apple ไม่ให้ เครดิต.
ฉันต้องการแบ่งปันประสบการณ์ที่น่าผิดหวังในการเข้าร่วมโปรแกรม Apple Security Bounty ฉันได้รายงานช่องโหว่ 0 วันสี่จุดในปีนี้ระหว่างวันที่ 10 มีนาคมถึง 4 พฤษภาคม ณ ตอนนี้สามช่องโหว่ยังคงมีอยู่ใน iOS เวอร์ชันล่าสุด (15.0) และหนึ่งได้รับการแก้ไขใน 14.7 แต่ Apple ตัดสินใจที่จะปกปิดและ ไม่แสดงรายการในหน้าเนื้อหาความปลอดภัย เมื่อฉันเผชิญหน้ากับพวกเขา พวกเขาขอโทษ ยืนยันกับฉันว่ามันเกิดขึ้นเนื่องจากปัญหาในการประมวลผล และสัญญาว่าจะแสดงรายการในหน้าเนื้อหาความปลอดภัยของการอัปเดตครั้งต่อไป มีการเปิดตัวสามครั้งตั้งแต่นั้นมาและพวกเขาก็ผิดสัญญาในแต่ละครั้ง
บุคคลดังกล่าวกล่าวว่า เมื่อสัปดาห์ที่แล้ว พวกเขาเตือน Apple ว่าพวกเขาจะทำการวิจัยต่อสาธารณะหากพวกเขาไม่ได้รับคำตอบ อย่างไรก็ตาม พวกเขากล่าวว่า Apple เพิกเฉยต่อคำขอดังกล่าว ทำให้พวกเขาต้องเปิดเผยช่องโหว่ดังกล่าวต่อสาธารณะ
อายุการใช้งานแบตเตอรี่ airpod นานแค่ไหน
หนึ่งในช่องโหว่ Zero-day เกี่ยวข้องกับ Game Center และถูกกล่าวหาว่าอนุญาตให้แอปใดๆ ที่ติดตั้งจาก App Store เข้าถึงข้อมูลผู้ใช้บางส่วน:
- อีเมล Apple ID และชื่อเต็มที่เกี่ยวข้อง
- โทเค็นการตรวจสอบสิทธิ์ Apple ID ซึ่งอนุญาตให้เข้าถึงปลายทางอย่างน้อยหนึ่งจุดบน *.apple.com ในนามของผู้ใช้
- ระบบไฟล์ที่สมบูรณ์เข้าถึงฐานข้อมูล Core Duet เพื่ออ่าน (ประกอบด้วยรายชื่อผู้ติดต่อจาก Mail, SMS, iMessage, แอพส่งข้อความของบุคคลที่สามและข้อมูลเมตาเกี่ยวกับการโต้ตอบของผู้ใช้ทั้งหมดกับผู้ติดต่อเหล่านี้ (รวมถึงการประทับเวลาและสถิติ) รวมถึงไฟล์แนบบางส่วน (เช่น URL และข้อความ)
- ระบบไฟล์ที่สมบูรณ์เข้าถึงการอ่านฐานข้อมูล Speed Dial และฐานข้อมูลสมุดที่อยู่รวมถึงรูปภาพผู้ติดต่อและข้อมูลเมตาอื่น ๆ เช่นวันที่สร้างและแก้ไข (ฉันเพิ่งตรวจสอบบน iOS 15 และไม่สามารถเข้าถึงได้ดังนั้นเมื่อเร็ว ๆ นี้ต้องได้รับการแก้ไขอย่างเงียบ ๆ )
ช่องโหว่ Zero-day อีก 2 รายการที่ยังปรากฏอยู่ใน iOS 15 และช่องโหว่ที่ได้รับการแก้ไขใน iOS 14.7 นั้นมีรายละเอียดอยู่ในบล็อกโพสต์เช่นกัน
iphone 8 ออกวันไหนคะ
Apple ยังไม่ได้แสดงความคิดเห็นในบล็อกโพสต์ เราจะอัปเดตเรื่องราวนี้หากบริษัทตอบกลับRoundups ที่เกี่ยวข้อง: iOS 15 , iPad 15คลิกผ่านเพื่อดูการใช้ Game Center โดยเฉพาะ มันหยาบ สิ่งต่างๆ เช่นนี้ไม่น่าจะหลุดผ่านช่องโหว่ด้วยโปรแกรมรักษาความปลอดภัยที่ใช้งานได้ แต่สำหรับ Apple มันเป็นเรื่องธรรมดา ที่แตกสลายอย่างสุดซึ้ง แต่ก็ไม่มีอะไรเปลี่ยนแปลง จะเอาอะไร? – มาร์โกอาร์เมนท์ (@marcoarment) 24 กันยายน 2564
โพสต์ยอดนิยม