Un ricercatore di sicurezza afferma che Apple non lo ha pagato per la scoperta di una vulnerabilità zero-day ora corretta e che ci sono altre tre vulnerabilità di questo tipo in iOS 15.
Nel 2019, Apple ha aperto il suo programma di scoperta bug a tutti gli utenti, prevedendo delle taglie per la scoperta delle vulnerabilità più importanti. Oggi, il ricercatore conosciuto come illusionofchaos ha detto che una vulnerabilità da lui scoperta e ora risolta da Apple non è stata riconosciuta e per tale motivo non ha ricevuto alcun premio in denaro. Non solo, a quanto pare iOS 15 conterrebbe ancora tre vulnerabilità zero-day.
Voglio condividere la mia frustrante esperienza con il programma Apple Security Bounty. Ho segnalato quattro vulnerabilità 0-day quest’anno tra il 10 marzo e il 4 maggio, al momento tre di esse sono ancora presenti nell’ultima versione iOS (15.0) e una è stata corretta nella 14.7, ma Apple ha deciso di coprirla e non elencarla nella pagina dei contenuti di sicurezza. Quando li ho contattati, si sono scusati, mi hanno assicurato che era successo a causa di un problema di elaborazione e hanno promesso che avrebbero elencato la correzione nella pagina dei contenuti di sicurezza del prossimo aggiornamento. Ci sono state tre uscite da allora e ogni volta hanno infranto la loro promessa.
illusionofchaos afferma di aver chiesto di nuovo una spiegazione ad Apple, ma da allora l’azienda non ha più risposto.
Dieci giorni fa ho chiesto una spiegazione e ho avvertito che avrei reso pubblica la mia ricerca se non avessi ricevuto una risposta. La mia richiesta è stata ignorata, quindi sto facendo quello che avevo promesso di fare. Le mie azioni sono conformi alle linee guida sulla divulgazione responsabile. Ho aspettato molto più a lungo dei 90 giorni minimi, visto che sono passati circa 6 mesi dalla mia prima scoperta.
illusionofchaos ha condiviso i dettagli sulle altre tre vulnerabilità zero-day che sono presenti anche su iOS 15, tra cui “Gamed 0-day”, “Nehelper Enumerate Installed Apps 0-day” e “Nehelper Wifi Info 0-day”.
Gamed 0-day:
Qualsiasi app installata dall’App Store può accedere ai seguenti dati senza alcuna richiesta da parte dell’utente:
- Email dell’ID Apple e nome completo ad essa associato
- Token di autenticazione ID Apple che consente di accedere ad almeno uno degli endpoint su *.apple.com per conto dell’utente
- Accesso completo in lettura del file system al database Core Duet (contiene un elenco di contatti da Mail, SMS, iMessage, app di messaggistica di terze parti e metadati su tutte le interazioni dell’utente con questi contatti, inclusi timestamp e statistiche), e anche ad alcuni allegati (come gli URL e testi)
- Accesso completo in lettura del file system al database di composizione rapida e al database della Rubrica, comprese le immagini dei contatti e altri metadati come le date di creazione e modifica
Nehelper Enumerate Installed Apps 0-day
Questa vulnerabilità consente a qualsiasi app installata dall’utente di determinare se un’app è stata installata sul dispositivo partendo dal suo ID bundle.
Nehelper Wifi Info 0-day
L’endpoint XPC com.apple.nehelper accetta il parametro sdk-version fornito dall’utente e, se il suo valore è inferiore o uguale a 524288, il controllo com.apple.developer.networking.wifi-infoentiltlement viene ignorato. Questo consente a qualsiasi app qualificante (ad esempio in possesso dell’autorizzazione di accesso alla posizione) di accedere alle informazioni Wi-Fi senza l’autorizzazione richiesta.
Vedremo se Apple risponderà a questa pubblicazione.