Apple ответила пользователю Хабра из России, который нашёл три уязвимости нулевого дня в iOS

podogreykin avatar | 14
FavoriteLoading В закладки
Apple ответила пользователю Хабра из России, который нашёл три уязвимости нулевого дня в iOS

Apple ответила пользователю Хабра (Денису Токареву), который рассказал в своём блоге о трёх уязвимостях нулевого дня в iOS 15. Некоторые из них могут позволить приложениям иметь несанкционированный доступ к личным данным пользователя.

Компания принесла извинения, что не выходила на связь несколько дней и заявила, что специалисты уже работают над изучением всех брешей безопасности. Motherboard считает, что компания дала ответ только из-за шумихи, поднятой СМИ.

Денис в новой заметке на Хабре жалуется, что Apple до сих пор не указала исправление уязвимости analyticsd в списке изменений безопасности.

Хотя, по словам компании, возможность применения эксплоита была устранена ещё в iOS 14.7. Тем не менее ни в 14.7.1, ни в 14.8, ни в 15.0 это не указано. [AppleInsider]

1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (32 голосов, общий рейтинг: 4.56 из 5)
🤓 Хочешь больше? Подпишись на наш Telegram.
... и не забывай читать наш Facebook и Twitter 🍒
FavoriteLoading В закладки
undefined
iPhones.ru
Компания не выходила на связь несколько дней.
Прокомментировать

🙈 Комментарии 14

  1. KaerLaeda avatar
    KaerLaeda28 сентября в 11:24
    12

    Тема не раскрыта. Денег за находку ему дадут?

    svitanak avatar
    svitanak28 сентября в 11:41
    0

    @KaerLaeda, нет, надо еще шуму, поэтому и молчали естественно

    packshot avatar
    packshot28 сентября в 11:56
    4

    @KaerLaeda, В теории заслужил и много
    на практике подострал имиджу корпорации
    в итоге будет по нулям

    KaerLaeda avatar
    KaerLaeda28 сентября в 14:18
    0

    @packshot, имидж не имидж, но у них же вроде официально объявлена программа по оплате найденных багов.

    rukamaster avatar
    rukamaster28 сентября в 13:02
    0

    @KaerLaeda, пфффф, эти евреи и спасибо не скажут.

    ​? avatar
    ​?28 сентября в 13:02
    4

    @KaerLaeda, дадут. Там уязвимости очень условные. Формально приложения могут получить доступ к данным, которого у них не должно быть. Но эти данные никакой особой ценности не представляют и пользователь никакой опасности не подвергается.
    Видать просто самый низкий приоритет присвоили, а чувак изошел на гвно из-за того что ему никакого ответа не прислали

    MatveyYo avatar
    MatveyYo28 сентября в 13:38
    3

    @​?, Несанкционированный доступ к логам устройства без запроса пользователя не такой уж и маленький недочёт со стороны Apple.
    В целом показано как на самом деле обстоят дела с защитой внутри iOS. Сама защита не плохая, но вывод следующий:
    – Всё управляется записями в подписанном xml. Apple не позволяет вызвать что попало ьбез официального признания, что приложению это нужно.
    – Открыть доступ к установке приложений Apple очень боится – это откроет путь ко всем API и безопасной платформа перестанет быть совсем.
    – В других платформах без разрешения в манифесте не будет получен доступ к апи. Более продвинутый механизм. Здесь же он держится только на подписи со стороны Apple.
    – Закрыть все возможные использования стороннего АПИ в обход entitelments не представляется возможным.
    – Существует горстка АПИ, которые ничем не прикрыты, кроме поиска по коду строки вызова этой функции, что прячется на ура.

    ShamanskyRobert avatar
    ShamanskyRobert28 сентября в 14:35
    0

    @MatveyYo, “В других платформах без разрешения в манифесте не будет получен доступ к апи.” Это разрешение даёт пользователь или как?

    ​? avatar
    ​?28 сентября в 15:30
    0

    @MatveyYo, в других платформах все тоже самое. Вполне нормальный механизм защиты у Apple, проблема в проверках внутри конкретных Api вызовах

    Phonerz avatar
    Phonerz28 сентября в 13:41
    2

    @​?, у чела реальная какая-то проблема с Apple, многолетняя. В общем, у него сново обострение!

  2. Diablo2 avatar
    Diablo228 сентября в 11:42
    4

    Покойся с миром, Эль Риситас.
    Всегда смотрю его смех))

    desired avatar
    desired28 сентября в 12:09
    0

    @Diablo2, не знал, что он умер… очень жаль:(

    I-LiveIn-USA avatar
    I-LiveIn-USA28 сентября в 22:18
    0

    @Diablo2, и я пропустил как-то, что он умер.

  3. dizzy5 avatar
    dizzy528 сентября в 16:23
    0

    чё?

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь