Bilde: Apple
I det meste av 2021 har en sikkerhetsforsker som heter illusionofchaos vært engasjert i en ufruktbar samtale med Apple for å fikse en rekke sårbarheter som gjør at apper kan ringe API -anrop for å trekke ned brukerinformasjon som de ikke burde kunne.
Fredag offentliggjorde forskeren funnene sine, som inneholdt ett sårbarhet løst i iOS 14.7 og tre upatchede sårbarheter.
De fikste feilene involverte Analyticsd og ga apper tilgang til logger som inneholder medisinsk informasjon, enhetsbruksinformasjon, applikasjonskrasj og informasjon om enhetstilbehør.
De upatchede sårbarhetene inkluderte at tjenesten som ble spilt ikke kontrollerte spilletillatelsen på riktig måte og tillot tilgang til Core Duet-databasen som inneholder alle kontakter fra Mail, SMS, iMessages og noen vedlegg. Apple ID -e -post, fullt navn og godkjenningstokener som gir tilgang til minst ett apple.com -endepunkt; og lesetilgang til hurtigoppringingsdatabasen og adresseboken.
En sårbarhet i Nehelper tillot en app å sjekke om en annen app ble installert, og en annen Nehelper-feil tillot uautorisert tilgang til Wi-Fi-informasjon.
Forskeren sa da Apple løste Analyticsd -problemet, de ble ikke kreditert, og Apple sa i juli at kreditt var på vei. I september ventet forskeren fremdeles.
For hvert sårbarhet publiserte forskeren proof-of-concept-kode på GitHub.
Lørdag mottok forskeren et svar fra Apple, som sa at den hadde sett blogginnlegget og beklaget forsinkelsen.
“Vi vil fortelle deg at vi fortsatt undersøker disse problemene og hvordan vi kan løse dem for å beskytte kundene. Takk igjen for at du tok deg tid til å rapportere disse problemene til oss, vi setter pris på hjelpen din, “Sa Apple.
ZDNet spurte Apple om kommentar på fredag, men vi venter fortsatt på svar.
I helgen klaget en blind utvikler på at Apple hadde merket spam som en oppdatering for å gjøre en tilgjengelig versjon av Hangman kjørt på iOS 15.
“Appen min er laget for blinde og at alle de andre hangman -spillene Jeg har sett på appbutikken at det er halvt spillbart og … dette er en feilrettingsoppdatering og allerede eksisterende brukere som har betalt for appen kan ikke spille med iOS 15, “skrev Oriol Gómez sentís.
“Til min forferdelse svarte de og sa at ja,” vi forstår at appen din har voiceover “, hei? Min app har voiceover? Men dessverre er avvisningen fortsatt på plass.”
Tidlig på mandag morgen sa utvikleren at Apple hadde godkjent oppdateringen, men appen forble i strid med retningslinjene for App Store.
Relatert dekning
Apple lanserer oppdateringer for Catalina og iOS 12.5.5 sårbarheter EU ønsker at USB-C skal bli standard ladeport for alle smarttelefoner for å begrense e-waste Ikke liker iPhone nye Safari i iOS 15? Slik reparerer du Apple utestenger Epic Games fra App Store til alle rettstvister er avsluttet. Facebook ser turbulens i tredje kvartal over endringer i personvern i Apple
Relaterte emner:
Apple Security TV Data Management CXO Data Centers