| 27 сентября 2021 г. — 12:54 PT
В 2019 году Apple пересмотрела свою программу вознаграждений за безопасность, сделав ее открытой для всех, увеличив выплаты и многое другое. Однако эта программа вызвала немало критики со стороны сообщества инфобезопасности. Теперь еще один исследователь безопасности поделился своим опытом, заявив, что Apple не указала его в качестве автора одного из сообщенных им исправленных уязвимостей нулевого дня, и что в iOS 15 существуют еще три уязвимости нулевого дня.
Обновление 27.09: После публичного освещения своего опыта Apple отреагировала на заявление исследователя безопасности illusionofchaos, также известного как Денис Токарев.
Как сообщает Motherboard, вот официальный ответ Apple, полученный Токаревым:
«Мы ознакомились с вашим сообщением в блоге по этому вопросу и вашими другими отчетами. Приносим извинения за задержку с ответом», — написал сотрудник Apple. «Хотим сообщить вам, что мы все еще расследуем эти проблемы и ищем способы их устранения для защиты клиентов. Еще раз благодарим вас за то, что нашли время сообщить нам об этих проблемах, мы ценим вашу помощь. Пожалуйста, дайте нам знать, если у вас есть какие-либо вопросы».
Motherboard подтвердил подлинность письма от Apple к Токареву, убедившись, что оно пришло с сервера, принадлежащего Apple. Motherboard также запросил дополнительный комментарий у представителей сообщества инфобезопасности:
«Хотя я рад, что Apple, похоже, теперь относится к этой конкретной ситуации более серьезно, это выглядит скорее как реакция на негативные публикации, чем на что-то другое», — сказал Николас Птачек, исследователь, работающий в SecureMac, компании по кибербезопасности, специализирующейся на компьютерах Apple.
Тем временем другой ветеран кибербезопасности сказал:
Однако то, как Apple справилась со всем этим процессом, учитывая, что ее программа вознаграждений за ошибки существует более пяти лет, «не является нормой и должно считаться нормой», по словам Кэти Мауссурис, эксперта по кибербезопасности, которая, по сути, изобрела концепцию вознаграждений за ошибки более 10 лет назад, работая в Microsoft.
Исследователь безопасности illusionofchaos поделился своим опытом в записи в блоге, в том числе заявлением о том, что Apple знает о трех уязвимостях нулевого дня в iOS 15 с марта и игнорирует их.
Я хочу поделиться своим разочаровывающим опытом участия в программе Apple Security Bounty. В этом году я сообщил о четырех уязвимостях нулевого дня в период с 10 марта по 4 мая; на данный момент три из них все еще присутствуют в последней версии iOS (15.0), а одна была исправлена в 14.7, но Apple решила скрыть это и не упоминать ее на странице с описанием исправлений безопасности. Когда я обратился к ним, они извинились, заверили меня, что это произошло из-за проблемы с обработкой, и пообещали указать ее на странице с описанием исправлений безопасности следующего обновления. С тех пор вышло три релиза, и они каждый раз нарушали свое обещание.
illusionofchaos говорит, что снова попросил Apple дать объяснение, включая предупреждение о том, что он опубликует свое исследование в соответствии с рекомендациями ответственного раскрытия информации, но Apple не ответила.
Десять дней назад я попросил объяснения и предупредил, что опубликую свое исследование, если не получу ответа. Мой запрос был проигнорирован, поэтому я делаю то, что обещал. Мои действия соответствуют руководящим принципам ответственного раскрытия информации (Google Project Zero раскрывает уязвимости через 90 дней после их сообщения поставщику, ZDI — через 120). Я ждал гораздо дольше, в одном случае до полугода.
illusionofchaos поделился подробностями о трех других найденных им уязвимостях нулевого дня, которые включают «Gamed 0-day», «Nehelper Enumerate Installed Apps 0-day» и «Nehelper Wifi Info 0-day», включая исходный код доказательства концепции.
Вот обзор каждой из них:
Gamed 0-day
Любое приложение, установленное из App Store, может получить доступ к следующим данным без какого-либо запроса от пользователя:
- Адрес электронной почты Apple ID и связанное с ним полное имя
- Токен аутентификации Apple ID, который позволяет получать доступ по крайней мере к одному из конечных узлов *.apple.com от имени пользователя
- Полный доступ к файловой системе для базы данных Core Duet (содержит список контактов из Mail, SMS, iMessage, сторонних приложений для обмена сообщениями и метаданные обо всех взаимодействиях пользователя с этими контактами (включая временные метки и статистику), а также некоторые вложения (например, URL-адреса и тексты)
- Полный доступ к файловой системе для баз данных Speed Dial и Address Book, включая изображения контактов и другие метаданные, такие как даты создания и изменения (я только что проверил на iOS 15, и этот доступ недоступен, так что, вероятно, недавно был тихо исправлен)
Nehelper Enumerate Installed Apps 0-day
Уязвимость позволяет любому установленному пользователем приложению определять, установлено ли приложение на устройстве, зная его идентификатор пакета.
Nehelper Wifi Info 0-day
XPC-конечная точка com.apple.nehelper принимает предоставляемый пользователем параметр sdk-version, и если его значение меньше или равно 524288, проверка com.apple.developer.networking.wifi-info entitlement пропускается. Это позволяет любому подходящему приложению (например, имеющему авторизацию доступа к местоположению) получить доступ к информации Wi-Fi без требуемого entitlement. Это происходит в -[NEHelperWiFiInfoManager checkIfEntitled:] в /usr/libexec/nehelper.
Две точки зрения
Если посмотреть на картину в целом, Apple заявляет, что ее программа вознаграждений за ошибки «имеет огромный успех», в то время как сообщество инфобезопасности высказывает различные конкретные замечания и опасения по поводу программы. Среди них — заявления о том, что Apple не отвечала или отвечала несвоевременно, а также о том, что Apple не выплачивала вознаграждение за обнаруженные уязвимости, соответствующие рекомендациям программы вознаграждений.
Примечательно, что ранее в этом месяце стало известно, что Apple наняла нового руководителя для своей программы вознаграждений за безопасность с целью ее «реформирования».