Frustración de Apple: investigador de seguridad lanza vulnerabilidades de día 0 para iOS 15

Un investigador de seguridad ha publicado detalles de una serie de vulnerabilidades que permiten que las aplicaciones accedan a datos confidenciales de los usuarios y, al parecer, pueden seguir utilizándose en iOS 15. El investigador de seguridad, apodado “Illusionofchaos”, anunció cuatro descansos de día cero para Apple en la primavera. Sin embargo, el fabricante solo eliminó uno de ellos con iOS 14.7, sin documentarlo en las notas de la versión de seguridad pública, y quizás sin recompensarlo con el programa Buck Pound.

Apple inicialmente se disculpó y prometió agregar vulnerabilidad, pero eso no sucedió, y los otros tres agujeros aún están abiertos. Una nueva solicitud no fue respondida hace unos días, Escribe ilusiónPor eso decidió publicarlo. Publicó el código en el kit como “prueba de opinión” para que se pudieran aprovechar los errores.

El mayor problema parece estar en Game Network Game Center de Apple: los procesadores instalados desde la App Store pueden leer la dirección de correo electrónico y el nombre completo del ID de Apple del usuario. También puede acceder a la base de datos “Core Duet”, que proporciona información sobre la comunicación del usuario: contiene una lista de metadatos como marcas de tiempo y contactos en los que se intercambian mensajes a través de iMessage, correo y mensajeros de terceros.

En iOS 14.8, toda la base de datos de la libreta de direcciones se puede leer sin el permiso del usuario; Apple arregló silenciosamente este último en iOS 15, Illusion. El acceso es posible si el centro de juegos no está habilitado en el dispositivo.

READ  Service Layer Update corrige el problema de actualización para Windows 10 v1909

Los otros dos errores publicados pueden dar a una aplicación con acceso compartido de ubicación existente a los nombres de WiFi y pueden verificar si algunas aplicaciones están instaladas en el dispositivo. Error solucionado con iOS 14.7, aplicaciones habilitadas para leer datos de análisis registrados por dispositivo. Según un investigador de seguridad, estos pueden contener datos sensibles, incluso datos de salud. En la configuración de protección de datos en “Análisis y mejoras” / “Datos de análisis”, los usuarios pueden comprobar por sí mismos lo que está registrando el sistema; No hay información importante disponible en los dos iPhones del equipo editorial de Mac & I.

Ha habido críticas al programa de recompensas por errores de Apple durante mucho tiempo. En los últimos meses, más y más investigadores de seguridad han revelado sus experiencias decepcionantes: se dice que Apple es lento o inactivo para los informes de errores y quiere pagar menos por los errores de lo que se anuncia.

Más de Mac & I.

Más de Mac & I.


(LP)

A la pagina de inicio

Recommended For You

About the Author: Leopoldo Cardenas

"Amante de los viajes extremos. Fanático del tocino. Alborotador. Introvertido. Apasionado fanático de la música".

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *