Un investigador de seguridad ha publicado detalles de una serie de vulnerabilidades que permiten que las aplicaciones accedan a datos confidenciales de los usuarios y, al parecer, pueden seguir utilizándose en iOS 15. El investigador de seguridad, apodado «Illusionofchaos», anunció cuatro descansos de día cero para Apple en la primavera. Sin embargo, el fabricante solo eliminó uno de ellos con iOS 14.7, sin documentarlo en las notas de la versión de seguridad pública, y quizás sin recompensarlo con el programa Buck Pound.
Se dice que no hubo reacción de Apple
Apple inicialmente se disculpó y prometió agregar vulnerabilidad, pero eso no sucedió, y los otros tres agujeros aún están abiertos. Una nueva solicitud no fue respondida hace unos días, Escribe ilusiónPor eso decidió publicarlo. Publicó el código en el kit como «prueba de opinión» para que se pudieran aprovechar los errores.
El mayor problema parece estar en Game Network Game Center de Apple: los procesadores instalados desde la App Store pueden leer la dirección de correo electrónico y el nombre completo del ID de Apple del usuario. También puede acceder a la base de datos «Core Duet», que proporciona información sobre la comunicación del usuario: contiene una lista de metadatos como marcas de tiempo y contactos en los que se intercambian mensajes a través de iMessage, correo y mensajeros de terceros.
En iOS 14.8, toda la base de datos de la libreta de direcciones se puede leer sin el permiso del usuario; Apple arregló silenciosamente este último en iOS 15, Illusion. El acceso es posible si el centro de juegos no está habilitado en el dispositivo.
Revisión del esquema de recompensas por error
Los otros dos errores publicados pueden dar a una aplicación con acceso compartido de ubicación existente a los nombres de WiFi y pueden verificar si algunas aplicaciones están instaladas en el dispositivo. Error solucionado con iOS 14.7, aplicaciones habilitadas para leer datos de análisis registrados por dispositivo. Según un investigador de seguridad, estos pueden contener datos sensibles, incluso datos de salud. En la configuración de protección de datos en «Análisis y mejoras» / «Datos de análisis», los usuarios pueden comprobar por sí mismos lo que está registrando el sistema; No hay información importante disponible en los dos iPhones del equipo editorial de Mac & I.
Ha habido críticas al programa de recompensas por errores de Apple durante mucho tiempo. En los últimos meses, más y más investigadores de seguridad han revelado sus experiencias decepcionantes: se dice que Apple es lento o inactivo para los informes de errores y quiere pagar menos por los errores de lo que se anuncia.
(LP)
«Amante de los viajes extremos. Fanático del tocino. Alborotador. Introvertido. Apasionado fanático de la música».
