Noong 2019, ang Apple binuksan ang Security Bounty Program nito sa publiko , na nag-aalok ng mga payout ng hanggang milyon sa mga mananaliksik na nagbabahagi ng mga kritikal na kahinaan sa seguridad ng iOS, iPadOS, macOS, tvOS, o watchOS sa Apple, kabilang ang mga diskarteng ginamit upang pagsamantalahan ang mga ito. Ang programa ay idinisenyo upang tulungan ang Apple na panatilihing ligtas ang mga platform ng software nito hangga't maaari.
Sa panahong iyon, lumabas ang mga ulat na nagpapahiwatig na ang ilang mga mananaliksik sa seguridad ay hindi nasisiyahan sa programa , at ngayon ay isang security researcher na gumagamit ng pseudonym na 'illusionofchaos' ang nagbahagi ng kanilang katulad na 'nakakabigo na karanasan.'
Ang channel 13 news ay nagsalita tungkol sa pagbabago sa privacy policy ng facebook
Sa isang post sa blog naka-highlight ni Kosta Eleftheriou , sinabi ng hindi pinangalanang security researcher na nag-ulat sila ng apat na zero-day na kahinaan sa Apple sa pagitan ng Marso at Mayo ng taong ito, ngunit sinabi nila na tatlo sa mga kahinaan ay naroroon pa rin sa iOS 15 at ang isa ay naayos sa iOS 14.7 nang walang Apple na nagbibigay sa kanila ng anumang. pautang.
Gusto kong ibahagi ang aking nakakadismaya na karanasan sa paglahok sa programa ng Apple Security Bounty. Nag-ulat ako ng apat na 0-araw na mga kahinaan sa taong ito sa pagitan ng Marso 10 at Mayo 4, sa ngayon tatlo sa kanila ay naroroon pa rin sa pinakabagong bersyon ng iOS (15.0) at ang isa ay naayos sa 14.7, ngunit nagpasya ang Apple na takpan ito at huwag ilista ito sa pahina ng nilalamang panseguridad. Nang harapin ko sila, humingi sila ng paumanhin, tiniyak sa akin na nangyari ito dahil sa isang isyu sa pagproseso at nangakong ilista ito sa pahina ng nilalaman ng seguridad ng susunod na pag-update. May tatlong release mula noon at sinira nila ang kanilang pangako sa bawat pagkakataon.
Sinabi ng tao na, noong nakaraang linggo, binalaan nila ang Apple na isapubliko nila ang kanilang pananaliksik kung hindi sila makatanggap ng tugon. Gayunpaman, sinabi nila na hindi pinansin ng Apple ang kahilingan, na humahantong sa kanila na ibunyag sa publiko ang mga kahinaan.
paano baguhin ang iyong siri voice
Ang isa sa mga zero-day na kahinaan ay nauugnay sa Game Center at di-umano'y nagbibigay-daan sa anumang app na naka-install mula sa App Store na ma-access ang ilang data ng user:
- Apple ID email at buong pangalan na nauugnay dito
- Apple ID authentication token na nagbibigay-daan sa pag-access ng hindi bababa sa isa sa mga endpoint sa *.apple.com sa ngalan ng user
- Kumpletong file system read access sa Core Duet database (naglalaman ng listahan ng mga contact mula sa Mail, SMS, iMessage, 3rd-party na messaging apps at metadata tungkol sa lahat ng pakikipag-ugnayan ng user sa mga contact na ito (kabilang ang mga timestamp at istatistika), pati na rin ang ilang mga attachment (tulad ng mga URL at teksto)
- Kumpletong file system read access sa database ng Speed Dial at ang database ng Address Book kasama ang mga contact picture at iba pang metadata tulad ng mga petsa ng paglikha at pagbabago (kakasuri ko lang sa iOS 15 at ang isang ito ay hindi naa-access, upang ang isa ay dapat na tahimik na naayos kamakailan. )
Ang iba pang dalawang zero-day na kahinaan na tila naroroon pa rin sa iOS 15, pati na rin ang na-patch sa iOS 14.7, ay nakadetalye rin sa post sa blog.
os x mountain lion v10 8
Ang Apple ay hindi pa nagkomento sa post sa blog. I-update namin ang kwentong ito kung tumugon ang kumpanya.Mga Kaugnay na Roundup: iOS 15 , iPad 15Mag-click upang makita ang pagsasamantala sa Game Center sa partikular. Ito ay magaspang. Ang mga bagay na tulad nito ay dapat na halos hindi makalusot sa mga bitak na may gumaganang programa sa seguridad. Sa halip, sa Apple, ito ay karaniwan. Iyon ay napakalalim na nasira, ngunit walang nagbabago. Ano ang aabutin? — Marco Arment (@marcoarment) Setyembre 24, 2021
Patok Na Mga Post