in

Apple responde al investigador de seguridad que encontró múltiples fallas de día cero en iOS 15 [U]

Apple revisó su programa de recompensas de seguridad en 2019 al abrirlo a cualquiera, aumentar los pagos y más. Sin embargo, el programa ha recibido una buena cantidad de críticas por parte de la comunidad de seguridad de información. Ahora, otro investigador de seguridad ha compartido su experiencia afirmando que Apple no les dio crédito por una falla de día cero que informaron que se solucionó y que hay tres vulnerabilidades de día cero más en iOS 15.

Actualización 27/9: Después de compartir públicamente su experiencia, Apple ha respondido al investigador de seguridad illusionofchaos, también conocido como Denis Tokarev.

Según lo informado por Motherboard, esto es lo que Apple respondió oficialmente, según Tokarev:

“Vimos la publicación de su blog sobre este problema y sus otros informes. Nos disculpamos por la demora en responderle ”, escribió un empleado de Apple. “Queremos informarle que todavía estamos investigando estos problemas y cómo podemos abordarlos para proteger a los clientes. Gracias nuevamente por tomarse el tiempo para informarnos estos problemas, agradecemos su ayuda. Por favor, háganos saber si usted tiene alguna pregunta.»

La placa base verificó el correo electrónico de Apple a Tokarev como legítimo al confirmar que provenía de un servidor propiedad de Apple. Motherboard también solicitó más comentarios de los miembros de la comunidad infosec:

«Si bien me alegra que Apple parezca estar tomando esta situación particular más en serio ahora, parece más una reacción a la mala prensa que cualquier otra cosa», Nicholas Ptacek, investigador que trabaja para SecureMac, una empresa de ciberseguridad que se enfoca en Computadoras Apple.

Mientras tanto, otro veterano de la ciberseguridad dijo:

Pero la forma en que Apple manejó todo este proceso, dado que su programa de recompensas por errores tiene más de cinco años, «no es normal y debería considerarse normal», según Katie Moussouris, una experta en ciberseguridad que básicamente inventó el concepto de recompensas por errores. que hace 10 años mientras estaba en Microsoft.

El investigador de seguridad illusionofchaos compartió su experiencia en una publicación de blog que incluye la afirmación de que Apple ha sabido y está ignorando tres vulnerabilidades de día cero desde marzo y están en iOS 15.

Quiero compartir mi experiencia frustrante al participar en el programa Apple Security Bounty. He informado de cuatro vulnerabilidades de día 0 este año entre el 10 de marzo y el 4 de mayo, a partir de ahora tres de ellas todavía están presentes en la última versión de iOS (15.0) y una se corrigió en la 14.7, pero Apple decidió cubrirla y no lo incluya en la página de contenido de seguridad. Cuando los confronté, se disculparon, me aseguraron que sucedió debido a un problema de procesamiento y prometieron incluirlo en la página de contenido de seguridad de la próxima actualización. Hubo tres lanzamientos desde entonces y rompieron su promesa cada vez.

illusionofchaos dice que volvió a pedirle a Apple una explicación, incluido que haría pública su investigación, de acuerdo con las pautas de divulgación responsable, y Apple no respondió.

Hace diez días pedí una explicación y advertí entonces que haría pública mi investigación si no recibía una explicación. Mi solicitud fue ignorada, así que estoy haciendo lo que dije que haría. Mis acciones están de acuerdo con las pautas de divulgación responsable (Google Project Zero revela vulnerabilidades en 90 días después de informarlas al proveedor, ZDI, en 120). He esperado mucho más, hasta medio año en un caso.

illusionofchaos compartió detalles sobre las otras tres vulnerabilidades de día cero que encontró, que incluyen «día 0 jugado», «día 0 de Nehelper enumerar aplicaciones instaladas» y «día 0 de información de Nehelper Wifi», incluido el código fuente de prueba de concepto.

Aquí hay una descripción general de cada uno:

Jugado 0 días

Cualquier aplicación instalada desde la App Store puede acceder a los siguientes datos sin que el usuario lo solicite:

Correo electrónico de ID de Apple y nombre completo asociado con él Token de autenticación de ID de Apple que permite acceder al menos a uno de los puntos finales en * .apple.com en nombre del usuario Acceso de lectura completo del sistema de archivos a la base de datos de Core Duet (contiene una lista de contactos de correo, SMS, iMessage, aplicaciones de mensajería de terceros y metadatos sobre la interacción de todos los usuarios con estos contactos (incluidas marcas de tiempo y estadísticas), también algunos archivos adjuntos (como URL y textos) Acceso de lectura completo del sistema de archivos a la base de datos de marcación rápida y la dirección Base de datos de libros que incluye imágenes de contacto y otros metadatos, como fechas de creación y modificación (acabo de verificar iOS 15 y este es inaccesible, por lo que uno debe haber sido arreglado silenciosamente recientemente)

Nehelper enumera las aplicaciones instaladas 0 días

La vulnerabilidad permite que cualquier aplicación instalada por el usuario determine si alguna aplicación está instalada en el dispositivo dada su ID de paquete.

Información de Nehelper Wifi 0 días

El punto final de XPC com.apple.nehelper acepta el parámetro sdk-version proporcionado por el usuario, y si su valor es menor o igual a 524288, se omite la comprobación de com.apple.developer.networking.wifi-infoentiltlement. Esto hace posible que cualquier aplicación que califique (por ejemplo, que posea una autorización de acceso a la ubicación) obtenga acceso a la información de Wifi sin la autorización requerida. Esto sucede en -[NEHelperWiFiInfoManager checkIfEntitled:] en / usr / libexec / nehelper.

Dos perspectivas

Dando un paso atrás para mirar el panorama general, Apple ha dicho que su programa de recompensas por errores es un «éxito desbocado», mientras que la comunidad de seguridad ha compartido una variedad de críticas y preocupaciones específicas sobre el programa. Estos incluyen afirmaciones de que Apple no ha respondido o no ha respondido con prontitud y también que Apple no ha pagado por fallas descubiertas que cumplen con las pautas de los programas de recompensas.

En particular, a principios de este mes nos enteramos de que Apple contrató a un nuevo líder para su programa de recompensas de seguridad con el objetivo de «reformarlo».

FTC: Utilizamos enlaces de afiliados de automóviles que generan ingresos. Más.

Consulte . en YouTube para obtener más noticias de Apple:

Pep Guardiola dice que ‘no sabe cómo detener’ al PSG antes del choque de la Liga de Campeones el martes, con Lionel Messi en duda para un posible reencuentro con su exjefe

El Real Madrid anuncia la convocatoria para el partido de Champions contra el sheriff Tiraspol