Noticias

Investigador dice que Apple ignoró múltiples vulnerabilidades de día cero en iOS 15

Un investigador de seguridad afirma que Apple aún tiene que corregir múltiples vulnerabilidades de día cero en iOS 15 que les informaron hace seis meses. Estos ahora están presentes en iOS 15 lanzado el 20 de septiembre.

El investigador de seguridad que usa el seudónimo de illusionofchaos en detalle entrada en el blog Friday afirmó haber presentado cuatro vulnerabilidades de día cero a Apple entre el 10 de marzo y el 4 de mayo de 2021, cuando iOS 15 aún no estaba implementado.

Uno de los errores que afecta a la iOS Analyticsd parche en iOS 14.7, pero Apple no lo ha reconocido públicamente y figura en su lista oficial página de vulnerabilidad. El investigador dijo que Apple «decidió encubrirlo y no incluirlo en la página de contenido de seguridad».

Cuando preguntó por qué la vulnerabilidad no está en la lista, Apple se disculpó y le aseguró que se debía a un problema de procesamiento y prometió incluirla en los avisos de seguridad en una próxima actualización. Sin embargo, el error no se incluyó en la siguiente lista de vulnerabilidades.

“Hace diez días pedí una explicación y luego advertí que publicaría mi investigación si no obtenía una explicación. Mi solicitud fue ignorada, así que estoy haciendo lo que dije que haría. Mis acciones están de acuerdo con las pautas de divulgación responsable (Google Project Zero divulga vulnerabilidades en 90 días después de informarlas al proveedor, ZDI, en 120). He esperado mucho más, hasta medio año en un caso”, ilusión del caos. escribe.

Además del error solucionado, el investigador dice que hay otras tres fallas de seguridad presentes en la versión lanzada de iOS 15, que aún no se han solucionado. Según él, estos errores, a los que Apple está prestando atención, amenazan directamente la privacidad de la información del usuario.

Una de las vulnerabilidades incluye un Nehelper Info Wifi 0-día falla donde las aplicaciones con permisos de servicios de ubicación también pueden acceder a la información de Wi-Fi, y el juego de 0 días Un error permite que las aplicaciones descargadas de iOS App Store accedan a las credenciales de los usuarios y a la información de ID de Apple sin su permiso.

El tercero Nehelper Enumerar aplicaciones instaladas 0 días Fault permite que cualquier aplicación instalada por el usuario verifique si alguna otra aplicación está instalada en un dispositivo usando una ID incluida.

Las tres vulnerabilidades de día cero anteriores siguen sin resolverse hasta la fecha. Apple aún no se ha pronunciado al respecto.

Esta no es la primera vez que un investigador de seguridad expresa su descontento con el programa Security Bounty de Apple. Aunque Apple dijo que su programa de recompensas por errores fue un «éxito rotundo», muchos investigadores de seguridad lo han criticado por no pagar la recompensa por errores de acuerdo con las pautas de su programa de recompensas o por la mala comunicación y otros problemas.

HackNarrow

Informático de profesión, me dedico a probar nuevas versiones de hardware y verificar la seguridad e integridad de servidores y firewalls. Escribo un poco sobre novedades en la rama de la seguridad informática en general.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
error: Content is protected !!