Billede: Apple
I det meste af 2021 har en sikkerhedsforsker, der går under navnet illusionofchaos, været i en ufrugtbar samtale med Apple for at rette en række sårbarheder, der gør det muligt for apps at foretage API -opkald for at trække brugeroplysninger ned, som de ikke burde kunne.
Fredag offentliggjorde forskeren offentligheden med deres resultater, som indeholdt en sårbarhed rettet i iOS 14.7 og tre upatchede sårbarheder.
De faste fejl involverede Analyticsd og gav apps adgang til logfiler, der indeholder medicinske oplysninger, oplysninger om enhedsbrug, applikationsnedbrud og oplysninger om enhedstilbehør.
De upatchede sårbarheder omfattede den gamed-service, der ikke kontrollerede game-center-tilladelsen korrekt og gav adgang til Core Duet-databasen, der indeholder alle kontakter fra Mail, SMS, iMessages og nogle vedhæftede filer; Apple ID -e -mail, fuldt navn og godkendelsestokener, der giver adgang til adgang til mindst et apple.com -slutpunkt; og læseadgang til hurtigopkaldsdatabase og adressebog.
En sårbarhed i Nehelper gjorde det muligt for en app at kontrollere, om en anden app blev installeret, og en anden Nehelper-fejl tillod uautoriseret adgang til Wi-Fi-oplysninger.
Forskeren sagde, da Apple fik løst Analyticsd -problemet, de blev ikke krediteret, og Apple sagde i juli, at kredit var på vej. I september ventede forskeren stadig.
For hver sårbarhed offentliggjorde forskeren proof-of-concept-kode på GitHub.
Lørdag modtog forskeren et svar fra Apple, der sagde, at den havde set blogindlægget og undskyldte forsinkelsen.
“Vi vil gerne fortælle dig, at vi stadig undersøger disse spørgsmål, og hvordan vi kan løse dem for at beskytte kunderne. Tak igen, fordi du tog dig tid til at rapportere disse problemer til os, vi værdsætter din hjælp, “Sagde Apple.
ZDNet bad Apple om kommentarer fredag, men vi afventer stadig et svar.
I weekenden klagede en blind udvikler over, at Apple havde mærket spam som en opdatering for at få en tilgængelig version af Hangman til at køre på iOS 15.
“Min app er lavet til blinde, og at alle de andre hangman -spil Jeg har set i app store, at det er halvt spilbart og … dette er en fejlrettelsesopdatering, og allerede eksisterende brugere, der har betalt for appen, kan ikke afspille med iOS 15, “skrev Oriol Gómez sentís.
“Til min rædsel svarede de og sagde, at ja, 'vi forstår, at din app har voiceover', hej? Min app har voiceover? Men desværre er afvisningen stadig på plads.”
I de tidlige timer mandag morgen sagde udvikleren, at Apple havde godkendt opdateringen, men appen forblev i strid med retningslinjerne for App Store.
Relateret dækning
Apple frigiver patches til Catalina og iOS 12.5.5 sårbarheder EU ønsker, at USB-C skal blive standard opladningsport for alle smartphones for at begrænse e-affald Kan ikke lide iPhones nye Safari i iOS 15? Sådan repareres det Apple forbyder Epic Games fra App Store, indtil alle retssager er afsluttet Facebook ser turbulens i Q3 over ændringer af fortrolige oplysninger i Apple
Relaterede emner:
Apple Security TV Data Management CXO Data Centers