Niedawno pisaliśmy o groźnym zero-day’u na Apple. Teraz mamy kolejną porcję informacji o bezpieczeństwie w urządzeniach spod znaku nadgryzionego jabłka.
Badacz Denis Tokarev (aka iluzjaofchaos) ujawnił swoje odkrycia w zeszłym tygodniu na rosyjskim blogu informatycznym Habr. Podał do wiadomości publicznej szczegóły trzech niezałatanych luk w systemie iOS po tym, motywowany podobno sposobem, w jaki Apple prowadzi program bug bounty.
Tokarev twierdzi, że w okresie od 10 marca do 4 maja zgłosił firmie Apple cztery luki w zabezpieczeniach systemu iOS, ale tylko jedna z nich została naprawiona i firma Apple nie wspomniała o tym w informacjach o wydaniu.
„Kiedy skonfrontowałem się z Apple, przeprosili, zapewnili mnie, że stało się to z powodu problemu z przetwarzaniem i obiecali umieścić poprawkę bezpieczeństwa w następnej aktualizacji. Od tego czasu były trzy wydania i za każdym razem łamali obietnice” – powiedział badacz.
Dodał: „Dziesięć dni temu poprosiłem o wyjaśnienie i ostrzegłem, że jeśli nie otrzymam wyjaśnienia, upublicznię moje badania. Moja prośba została zignorowana, więc robię to, co obiecałam”.
Wpis na blogu badacza zawiera szczegóły techniczne dotyczące każdej z czterech zgłoszonych przez niego luk w zabezpieczeniach, a także linki do exploitów typu proof-of-concept hostowanych na GitHub. Twierdził, że dał Apple wystarczająco dużo czasu na wydanie łat i wskazał na duże firmy, takie jak Google i ZDI, które zazwyczaj dają dostawcom odpowiednio 90 i 120 dni na załatanie luk w zabezpieczeniach przed ich ujawnieniem. „Czekałem znacznie dłużej, w jednym przypadku nawet pół roku” – powiedział Tokarev.
Luka którą Apple obsłużyło i załatało może umożliwić złośliwej aplikacji zainstalowanej na urządzeniu dostęp do informacji przechowywanych przez Apple w dziennikach analitycznych. Badacz powiedział, że te pliki mogą przechowywać informacje o urządzeniu i jego użytkowaniu, a także niektóre dane dotyczące zdrowia.
Błędy, które nie zostały jeszcze załatane — badacz twierdzi, że można je wykorzystać w najnowszej wersji iOS 15 — umożliwiają szkodliwym aplikacjom zainstalowanym na urządzeniu dostęp do różnych rodzajów informacji. Jeden może być wykorzystany do uzyskania informacji o Wi-Fi, a inny do wylistowania zainstalowanych aplikacji.
Najpoważniejsza z nich umożliwia „każdej aplikacji zainstalowanej z App Store” dostęp do szerokiego zakresu danych bez pytania użytkownika. Ujawnione dane obejmują adres e-mail, token uwierzytelniający Apple ID oraz informacje powiązane z kontaktami ofiary.
W ciągu weekendu Tokarev zaktualizował swój wpis na blogu, aby poinformować, że Apple skontaktował się z nim. Gigant technologiczny rzekomo przeprosił za opóźnioną odpowiedź i powiedział, że nadal bada problemy i sposoby ich rozwiązania.
Przypadek Tokareva jest jednym z długiej listy badaczy bezpieczeństwa sfrustrowanych programem bug bounty firmy Apple. Wielu narzekało w ciągu ostatnich lat na opóźnione odpowiedzi i nagrody, które ich zdaniem są zbyt małe.
Apple oświadczyło, że w zeszłym roku zapłaciło 3,7 miliona dolarów, a kilku badaczy potwierdziło, że otrzymało od firmy znaczące nagrody za błędy.