自称为IllusionOfChaos的研究人员指出,他在3月到5月间向苹果通报4项漏洞。根据业界的挖掘奖励制度,软件大厂除了应在确认漏洞后于合理时间内修补,并且要在安全公告公开承认回应漏洞的研究人员的贡献,且提供相应奖金。但是,这名研究人员对苹果的态度感到失望。在这4项漏洞中,苹果修补了其中一项,但是从头到尾没有在安全公告中提及他。更严重的是,另3项漏洞一直未修补,连最新推出的iOS 15都还有这批漏洞。
其中已修补的漏洞名为Analyticsd,允许用户安装的App访问iPhone或iPad的隐私iOS分析信息。这些分析信息位于“设置”>“隐私”>“分析&改善”>“分析信息”下,该漏洞则允许App在未经同意下径自访问,不过苹果已在7月间的iOS/iPadOS 14.7更新版中解决。
其实在公告中看不到有关漏洞的描述,因为苹果根本没写出来,当然也未提及他的名字。苹果在他找上门理论后说这是处理瑕疵,会在下一版更新中补上信息。不过苹果之后连续3次安全更新,包括9月中的iOS 14.8及上周的iOS 15.0,始终没有履行诺言。
另外3项漏洞则一直未见修补,研究人员认为他已经给苹果够多时间了,于是决定公布。他说他等的时间远远超过业界安全漏洞的缄默期作法,不论是Google的90天或ZDI的120天。
这3项未修补漏洞如下:Gamed 0-Day,允许Apple Store下载的App非授权访问Apple ID邮件、帐号全名、验证凭证、读取Core Duet共享联络人数据库中的信息、快速拨号数据库、联络人数据库等。
Nehelper Enumerated 0-day漏洞可使某一App经由bundle ID,判断设备上安装了什么其他App。Nehelper Wi-Fi 0-day则让可访问定位信息的App,径自使用Wi-Fi网路。
其中Gamed 0-Day漏洞较为严重。IllusionOfChaos认为根据苹果的漏洞挖掘奖励标准,这应该是个值10万美元的漏洞。
iOS 15已经修补了其中可被访问信息的部分瑕疵。但曾为苹果开发Apple Watch 键盘App FlickType的研究人员Kosta Eleftheriou则证实,Gamed 0-day漏洞仍影响iOS 14.8及iOS 15。
The Register引述安全专家Patrick Wardle指出,这些漏洞虽然严重,但不太可能发生,因为有不当访问意图的App,应该会被在上架App Store前被苹果审查发现。比较大的问题是,这表示苹果可能明知有漏洞,却仍然释出了iOS 15。
苹果于周日联系研究人员,对延迟回应致歉并感谢他的贡献,也表达公司正在研究这些漏洞以便解决。
媒体相信,苹果应该会在近日内释出iOS 15的更新版。苹果上周在iOS 15开放下载几小时内,即已释出iOS 15.1 beta版解决一些功能瑕疵。