Apple тихо исправила «игровую» уязвимость нулевого дня с выпуском iOS 15.0.2 в понедельник, брешь в системе безопасности, которая могла позволить злоумышленникам получить доступ к конфиденциальной пользовательской информации.
Компания исправила ошибку, не признав и не признав разработчика программного обеспечения Дениса Токарева за обнаружение, хотя он сообщил об ошибке за семь месяцев до выпуска iOS 15.0.2.
Отказ от кредитных отчетов об ошибках
В июле Apple также молча исправила ошибку нулевого дня analyticsd, выпустив версию 14.7, не указав Токарева в рекомендациях по безопасности, вместо этого пообещав отметить его отчет в рекомендациях по безопасности для предстоящего обновления.
С тех пор Apple опубликовала несколько рекомендаций по безопасности (iOS 14.7.1, iOS 14.8, iOS 15.0 и iOS 15.0.1), посвященных уязвимостям iOS, но каждый раз они не указывали его отчет об ошибке в аналитике.
«Из-за проблемы с обработкой ваш кредит будет включен в рекомендации по безопасности в следующем обновлении. Мы приносим извинения за неудобства», — ответила ему Apple, когда его спросили, почему в список исправленных ошибок безопасности iOS не включен его нулевой день.
Два дня назад, после того , как была выпущена iOS 15.0.2 , Токарев снова написал по электронной почте о том, что в рекомендациях по безопасности не упоминаются недостатки игры и аналитики. Apple ответила, прося его рассматривать содержимое их электронной переписки как конфиденциальную.
Это будет не первый раз, когда служба безопасности Apple попросит о конфиденциальности: впервые это случилось в августе, когда ему сказали, что игровой нулевой день будет исправлен в будущем обновлении безопасности, и призвали не раскрывать публично ошибку.
«Учитывая все обстоятельства, они относятся к уязвимостям игры немного лучше, чем аналитика, по крайней мере, на этот раз они не игнорируют меня и не лгут мне», — сказал Токарев.
Другие охотники за ошибками и исследователи безопасности также сообщали о подобном опыте, когда сообщали об уязвимостях группе безопасности продуктов Apple через программу Apple Security Bounty Program.
Некоторые говорили, что ошибки, о которых было сообщено в Apple, были исправлены без уведомления, и компания не предоставила им должного, как это произошло в этом случае.
Два нулевых дня осталось до (тихо) патча
В общей сложности Токарев обнаружил четыре нулевых дня iOS и сообщил о них Apple в период с 10 марта по 4 мая. В сентябре он опубликовал экспериментальный код эксплойта и подробную информацию обо всех уязвимостях iOS после того, как компания не смогла предоставить ему кредит после исправления. играли в нулевой день в июле.
Если злоумышленники успешно воспользуются четырьмя уязвимостями на незащищенных устройствах iOS (например, iPhone и iPad), они смогут получить доступ и собрать электронные письма Apple ID, полные имена, токены аутентификации Apple ID, информацию об установленных приложениях, информацию о WiFi и журналы аналитики (в том числе медицинская информация и информация об устройстве).
Полный список нулевых дней iOS, о котором сообщил Токарев, включает:
- Gamed 0-day (исправлено в iOS 15.0.2): ошибка, которую можно использовать с помощью приложений, установленных пользователем из App Store, и предоставления несанкционированного доступа к конфиденциальным данным, обычно защищенным с помощью запроса TCC или песочницы платформы (100000 долларов США на странице программы вознаграждений Apple Security Bounty Program)
- Nehelper Enumerate Installed Apps 0-day (iOS 15.0): позволяет любому установленному пользователем приложению определять, установлено ли какое-либо приложение на устройстве, учитывая его идентификатор пакета.
- Nehelper Wifi Info 0-day (iOS 15.0): позволяет любому подходящему приложению (например, имеющему разрешение на доступ к местоположению) получить доступ к информации Wi-Fi без необходимого разрешения.
- Analyticsd (исправлено в iOS 14.7): разрешает любому установленному пользователем приложению доступ к журналам аналитики.
«Мы видели ваше сообщение в блоге об этой проблеме и другие ваши отчеты. Приносим извинения за задержку с ответом вам», — сказала Apple Токареву через 24 часа после публикации кода нулевого дня и кода эксплойта в его блоге.
«Мы хотим сообщить вам, что мы все еще изучаем эти проблемы и как мы можем их решить, чтобы защитить клиентов. Еще раз благодарим вас за то, что вы нашли время сообщить нам об этих проблемах, мы ценим вашу помощь».
Apple также устранила вторую уязвимость нулевого дня в iOS 15.0.2 и iPadOS 15.0.2, которая активно используется в дикой природе для нацеливания на iPhone и iPad.
Эта ошибка, отслеживаемая как CVE-2021-30883, является критическим недостатком повреждения памяти в IOMobileFrameBuffer, позволяя вредоносным приложениям выполнять команды на уязвимых устройствах с привилегиями ядра.
Последнее обновление 05.01.2023
