
Afbeelding: Apple
Het grootste deel van 2021 is een beveiligingsonderzoeker onder de naam illusionofchaos verwikkeld in een vruchteloos gesprek met Apple om een aantal kwetsbaarheden op te lossen waardoor apps API-aanroepen kunnen doen om gebruikersinformatie op te halen die ze niet zouden moeten kunnen.
Vrijdag maakte de onderzoeker hun bevindingen openbaar, die een kwetsbaarheid bevatten die is opgelost in iOS 14.7 en drie niet-gepatchte kwetsbaarheden.
De opgeloste bugs hadden betrekking op Analyticsd en gaven apps toegang tot logboeken met medische informatie, informatie over apparaatgebruik, applicatiecrashes en informatie over apparaataccessoires.
De niet-gepatchte kwetsbaarheden waren onder meer dat de gamed-service de toestemming van het gamecentrum niet goed controleerde en toegang gaf tot de Core Duet-database die alle contacten van Mail, SMS, iMessages en sommige bijlagen bevat; Apple ID-e-mailadres, volledige naam en authenticatietokens die toegang geven tot ten minste één Apple.com-eindpunt; en leestoegang tot snelkiesdatabase en adresboek.
Door een kwetsbaarheid in Nehelper kon een app controleren of een andere app was geïnstalleerd, en een andere Nehelper-bug zorgde voor ongeautoriseerde toegang tot wifi-informatie.
De onderzoeker zei dat toen Apple het Analyticsd-probleem oploste, ze niet werden gecrediteerd, terwijl Apple in juli zei dat die krediet eraan kwam. In september wachtte de onderzoeker nog.
Voor elke kwetsbaarheid publiceerde de onderzoeker proof-of-concept code op GitHub.
Zaterdag ontving de onderzoeker een reactie van Apple, die zei de blogpost te hebben gezien en zich verontschuldigde voor de vertraging.
“We willen u laten weten dat we deze problemen nog steeds onderzoeken en hoe we deze kunnen aanpakken om klanten te beschermen. Nogmaals bedankt dat u de tijd heeft genomen om deze problemen aan ons te melden, we stellen uw hulp op prijs, ' zei Appel.
ZDNet heeft Apple vrijdag om commentaar gevraagd, maar we wachten nog steeds op een reactie.
In het weekend klaagde een blinde ontwikkelaar dat Apple een update als spam had bestempeld om een toegankelijke versie van Hangman op iOS 15 te laten draaien.
“Mijn app is gemaakt voor blinden en dat alle andere galgjes-games Ik heb gezien dat de app store voor de helft speelbaar is en … dit is een bugfix-update en reeds bestaande gebruikers die voor de app hebben betaald, kunnen niet spelen met iOS 15”, schreef Oriol Gómez sentís.
“Tot mijn schrik antwoordden ze dat ja, 'we begrijpen dat je app een voice-over heeft', hallo? Mijn app heeft een voice-over? Maar helaas is de afwijzing nog steeds van kracht.”
Maandagochtend vroeg zei de ontwikkelaar dat Apple de update had goedgekeurd, maar dat de app nog steeds in strijd was met de App Store-richtlijnen.
Gerelateerde dekking
Apple brengt patches uit voor Catalina en iOS 12.5.5 kwetsbaarhedenEU wil dat USB-C standaard oplaadpoort wordt voor alle smartphones om e-waste te beperken Houd niet van de nieuwe Safari van de iPhone in iOS 15? Hier leest u hoe u dit kunt oplossen Apple verbiedt Epic Games uit de App Store totdat alle rechtszaken zijn afgerond. Facebook ziet Q3 turbulentie over privacywijzigingen van Apple
Verwante onderwerpen:
Apple Security TV Data Management CXO-datacenters