Pada tahun 2019, Apple membuka Program Bounty Keamanannya untuk umum , menawarkan pembayaran hingga juta kepada peneliti yang berbagi kerentanan keamanan kritis iOS, iPadOS, macOS, tvOS, atau watchOS dengan Apple, termasuk teknik yang digunakan untuk mengeksploitasinya. Program ini dirancang untuk membantu Apple menjaga platform perangkat lunaknya seaman mungkin.
Sejak saat itu, laporan telah muncul yang menunjukkan bahwa beberapa peneliti keamanan tidak senang dengan program ini , dan sekarang seorang peneliti keamanan yang menggunakan nama samaran 'illusionofchaos' telah berbagi 'pengalaman frustrasi' yang serupa.
kapan saya bisa memesan iphone 13
Di sebuah posting blog disorot oleh Kosta Eleftheriou , peneliti keamanan yang tidak disebutkan namanya mengatakan mereka melaporkan empat kerentanan zero-day ke Apple antara Maret dan Mei tahun ini, tetapi mereka mengatakan bahwa tiga dari kerentanan masih ada di iOS 15 dan yang satu diperbaiki di iOS 14.7 tanpa Apple memberi mereka kredit.
Saya ingin berbagi pengalaman frustasi saya berpartisipasi dalam program Apple Security Bounty. Saya telah melaporkan empat kerentanan 0-hari tahun ini antara 10 Maret dan 4 Mei, sampai sekarang tiga di antaranya masih ada di versi iOS terbaru (15.0) dan satu diperbaiki di 14.7, tetapi Apple memutuskan untuk menutupinya dan tidak mencantumkannya di halaman konten keamanan. Ketika saya menghadapi mereka, mereka meminta maaf, meyakinkan saya bahwa itu terjadi karena masalah pemrosesan dan berjanji untuk mencantumkannya di halaman konten keamanan pembaruan berikutnya. Ada tiga rilis sejak itu dan mereka melanggar janji mereka setiap kali.
Orang tersebut mengatakan bahwa, minggu lalu, mereka memperingatkan Apple bahwa mereka akan mempublikasikan penelitian mereka jika mereka tidak menerima tanggapan. Namun, mereka mengatakan Apple mengabaikan permintaan tersebut, membuat mereka mengungkapkan kerentanan secara terbuka.
berapa besar iphone 6s?
Salah satu kerentanan zero-day terkait dengan Game Center dan diduga mengizinkan aplikasi apa pun yang diinstal dari App Store untuk mengakses beberapa data pengguna:
- Email ID Apple dan nama lengkap yang terkait dengannya
- Token otentikasi ID Apple yang memungkinkan untuk mengakses setidaknya satu titik akhir di *.apple.com atas nama pengguna
- Akses baca sistem file lengkap ke database Core Duet (berisi daftar kontak dari Mail, SMS, iMessage, aplikasi perpesanan pihak ketiga, dan metadata tentang semua interaksi pengguna dengan kontak ini (termasuk stempel waktu dan statistik), juga beberapa lampiran (seperti URL dan teks)
- Akses baca sistem file lengkap ke database Panggil Cepat dan database Buku Alamat termasuk gambar kontak dan metadata lain seperti tanggal pembuatan dan modifikasi (Saya baru saja memeriksa iOS 15 dan yang ini tidak dapat diakses, sehingga pasti telah diperbaiki secara diam-diam baru-baru ini )
Dua kerentanan zero-day lainnya yang tampaknya masih ada di iOS 15, serta yang ditambal di iOS 14.7, juga dirinci dalam posting blog.
iphone tidak bisa dibuka dengan apple watch
Apple belum mengomentari posting blog. Kami akan memperbarui cerita ini jika perusahaan merespons.Roundup terkait: iOS 15 , iPad 15Klik untuk melihat eksploitasi Game Center secara khusus. Ini kasar. Hal-hal seperti ini seharusnya hampir tidak pernah lolos dengan program keamanan yang berfungsi. Sebaliknya, dengan Apple, itu biasa. Itu sangat rusak, namun tidak ada yang berubah. Apa yang akan dibutuhkan? — Marco Arment (@marcoarment) 24 September 2021
Pesan Populer