Apple ответила пользователю Хабра (Денису Токареву), который рассказал в своём блоге о трёх уязвимостях нулевого дня в iOS 15. Некоторые из них могут позволить приложениям иметь несанкционированный доступ к личным данным пользователя.
Компания принесла извинения, что не выходила на связь несколько дней и заявила, что специалисты уже работают над изучением всех брешей безопасности. Motherboard считает, что компания дала ответ только из-за шумихи, поднятой СМИ.
Денис в новой заметке на Хабре жалуется, что Apple до сих пор не указала исправление уязвимости analyticsd в списке изменений безопасности.
Хотя, по словам компании, возможность применения эксплоита была устранена ещё в iOS 14.7. Тем не менее ни в 14.7.1, ни в 14.8, ни в 15.0 это не указано. [AppleInsider]
Войди и оставь комментарий
Или войди с помощью
Тема не раскрыта. Денег за находку ему дадут?
@KaerLaeda, нет, надо еще шуму, поэтому и молчали естественно
@KaerLaeda, В теории заслужил и много
на практике подострал имиджу корпорации
в итоге будет по нулям
@packshot, имидж не имидж, но у них же вроде официально объявлена программа по оплате найденных багов.
@KaerLaeda, пфффф, эти евреи и спасибо не скажут.
@KaerLaeda, дадут. Там уязвимости очень условные. Формально приложения могут получить доступ к данным, которого у них не должно быть. Но эти данные никакой особой ценности не представляют и пользователь никакой опасности не подвергается.
Видать просто самый низкий приоритет присвоили, а чувак изошел на гвно из-за того что ему никакого ответа не прислали
@?, Несанкционированный доступ к логам устройства без запроса пользователя не такой уж и маленький недочёт со стороны Apple.
В целом показано как на самом деле обстоят дела с защитой внутри iOS. Сама защита не плохая, но вывод следующий:
– Всё управляется записями в подписанном xml. Apple не позволяет вызвать что попало ьбез официального признания, что приложению это нужно.
– Открыть доступ к установке приложений Apple очень боится – это откроет путь ко всем API и безопасной платформа перестанет быть совсем.
– В других платформах без разрешения в манифесте не будет получен доступ к апи. Более продвинутый механизм. Здесь же он держится только на подписи со стороны Apple.
– Закрыть все возможные использования стороннего АПИ в обход entitelments не представляется возможным.
– Существует горстка АПИ, которые ничем не прикрыты, кроме поиска по коду строки вызова этой функции, что прячется на ура.
@MatveyYo, “В других платформах без разрешения в манифесте не будет получен доступ к апи.” Это разрешение даёт пользователь или как?
@MatveyYo, в других платформах все тоже самое. Вполне нормальный механизм защиты у Apple, проблема в проверках внутри конкретных Api вызовах
@?, у чела реальная какая-то проблема с Apple, многолетняя. В общем, у него сново обострение!
Покойся с миром, Эль Риситас.
Всегда смотрю его смех))
@Diablo2, не знал, что он умер… очень жаль:(
@Diablo2, и я пропустил как-то, что он умер.
Рекомендуем
Нашли орфографическую ошибку в новости?
Выделите ее мышью и нажмите Ctrl+Enter.