Három nulladik napi sebezhetőség van az iOS-ben

A többi nagy techcéghez hasonlóan már az Apple is évek óta rendelkezik bug bounty programmal, ezen keresztül a termékeiben sérülékenységeket találó biztonsági kutatók egyrészt jelenteni tudják a hibákat, másrészt pedig a körülményektől függően akár jelentős pénzjutalom is ütheti a markukat. Sajnos a tapasztalatok alapján az Apple gyakran rendkívül lassan vagy egyáltalán nem reagál a bejelentésekre, nem hozza nyilvánosságra a hibákat megtalált kutatók neveit, az ígértnél kisebb jutalmakat fizet ki, vagy éppen teljesen elfelejti átutalni a megítélt jutalmat.

Most újabb incidens lett ebből, egy névtelenségbe burkolózó biztonsági kutató a kihasználásukat demonstráló példakódokkal együtt nyilvánosságra hozott négy általa talált sebezhetőséget. Ebből egyet a júliusi iOS 14.7-ben javított az Apple, bár a hibát és a kutató nevét többszöri kérésre sem volt hajlandó betenni a javítási jegyzékbe. A maradék három sérülékenység mostantól kezdve nulladik napinak minősül, a segítségükkel a telepített appok titokban kémkedhetnek a mobilozók után.

Többek közt elérhetik például a mobilozók teljes nevét és Apple-fióknevét, letölthetik a Mail / SMS / iMessage kontaktlistájukat, engedély nélkül wifivel kapcsolatos információkhoz férhetnek hozzá, fényt deríthetnek rá, hogy telepítve vannak-e specifikus alkalmazások a készülékekre.

A biztonsági kutató szerint a sebezhetőségek nyilvánosságra hozatala során etikusan járt el, mindegyik esetében 120 napnál is jóval többet várt az Apple reakciójára és javítására, az egyik nulladik napi sérülékenység hat hónapnál is régebbi.

Rövid időn belül ez már a második kínos biztonsági leleplezés az Apple háza táján, nemrég a macOS egy triviálisan javítható sebezhetőségére arcpirító egyszerűséggel kikerülhető patchet készített.

Ha szeretne még több érdekes techhírt olvasni, akkor kövesse az Origo Techbázis Facebook-oldalát, kattintson ide!