文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

注意了!你的苹果系统可能存在这些安全隐患

2024-12-02 20:58

关注

[[426579]]

自称为IllusionOfChaos的研究人员指出,他在3月到5月间向苹果通报4项漏洞。根据业界的挖掘奖励制度,软件大厂除了应在确认漏洞后于合理时间内修补,并且要在安全公告公开承认回应漏洞的研究人员的贡献,且提供相应奖金。但是,这名研究人员对苹果的态度感到失望。在这4项漏洞中,苹果修补了其中一项,但是从头到尾没有在安全公告中提及他。更严重的是,另3项漏洞一直未修补,连最新推出的iOS 15都还有这批漏洞。

其中已修补的漏洞名为Analyticsd,允许用户安装的App访问iPhone或iPad的隐私iOS分析信息。这些分析信息位于“设置”>“隐私”>“分析&改善”>“分析信息”下,该漏洞则允许App在未经同意下径自访问,不过苹果已在7月间的iOS/iPadOS 14.7更新版中解决。

其实在公告中看不到有关漏洞的描述,因为苹果根本没写出来,当然也未提及他的名字。苹果在他找上门理论后说这是处理瑕疵,会在下一版更新中补上信息。不过苹果之后连续3次安全更新,包括9月中的iOS 14.8及上周的iOS 15.0,始终没有履行诺言。

另外3项漏洞则一直未见修补,研究人员认为他已经给苹果够多时间了,于是决定公布。他说他等的时间远远超过业界安全漏洞的缄默期作法,不论是Google的90天或ZDI的120天。

这3项未修补漏洞如下:Gamed 0-Day,允许Apple Store下载的App非授权访问Apple ID邮件、帐号全名、验证凭证、读取Core Duet共享联络人数据库中的信息、快速拨号数据库、联络人数据库等。

Nehelper Enumerated 0-day漏洞可使某一App经由bundle ID,判断设备上安装了什么其他App。Nehelper Wi-Fi 0-day则让可访问定位信息的App,径自使用Wi-Fi网路。

其中Gamed 0-Day漏洞较为严重。IllusionOfChaos认为根据苹果的漏洞挖掘奖励标准,这应该是个值10万美元的漏洞。

iOS 15已经修补了其中可被访问信息的部分瑕疵。但曾为苹果开发Apple Watch 键盘App FlickType的研究人员Kosta Eleftheriou则证实,Gamed 0-day漏洞仍影响iOS 14.8及iOS 15。

The Register引述安全专家Patrick Wardle指出,这些漏洞虽然严重,但不太可能发生,因为有不当访问意图的App,应该会被在上架App Store前被苹果审查发现。比较大的问题是,这表示苹果可能明知有漏洞,却仍然释出了iOS 15。

苹果于周日联系研究人员,对延迟回应致歉并感谢他的贡献,也表达公司正在研究这些漏洞以便解决。

媒体相信,苹果应该会在近日内释出iOS 15的更新版。苹果上周在iOS 15开放下载几小时内,即已释出iOS 15.1 beta版解决一些功能瑕疵。

 

来源:新浪科技内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯