Bild: Apple
Under större delen av 2021 har en säkerhetsforskare som heter illusionofchaos engagerat sig i ett fruktlöst samtal med Apple för att åtgärda ett antal sårbarheter som gör att appar kan ringa API -samtal för att dra ner användarinformation som de inte borde kunna.
På fredagen offentliggjorde forskaren sina fynd, som innehöll en sårbarhet som fixades i iOS 14.7 och tre opatchade sårbarheter.
De fasta buggarna involverade Analyticsd och gav appar åtkomst till loggar som innehåller medicinsk information, enhetsanvändningsinformation, programkrascher och information om enhetstillbehör.
De ouppdaterade sårbarheterna innefattade att den spelade tjänsten inte kontrollerade behörigheten för spelcentret ordentligt och tillät åtkomst till Core Duet-databasen som innehåller alla kontakter från Mail, SMS, iMessages och vissa bilagor; Apple ID -e -post, fullständigt namn och autentiseringstoken som ger åtkomst till åtminstone en apple.com slutpunkt; och läsåtkomst till snabbuppringningsdatabas och adressbok.
En sårbarhet i Nehelper gjorde det möjligt för en app att kontrollera om någon annan app var installerad och en annan Nehelper-bugg tillät obehörig åtkomst till Wi-Fi-information.
Forskaren sa när Apple fixade Analyticsd -problemet, de krediterades inte, och Apple sa i juli att kredit var på väg. I september väntade forskaren fortfarande.
För varje sårbarhet publicerade forskaren proof-of-concept-kod på GitHub.
På lördagen fick forskaren ett svar från Apple, som sa att den hade sett blogginlägget och bad om ursäkt för förseningen.
“Vi vill meddela dig att vi fortfarande undersöker dessa frågor och hur vi kan hantera dem för att skydda kunder. Tack än en gång för att du tog dig tid att rapportera dessa problem till oss, vi uppskattar din hjälp, “Sa Apple.
ZDNet bad Apple om kommentar på fredagen, men vi väntar fortfarande på svar.
Under helgen klagade en blind utvecklare på att Apple hade märkt spam som en uppdatering för att göra en tillgänglig version av Hangman körs på iOS 15.
”Min app är gjord för blinda och att alla andra bödelspel Jag har sett att i App Store är halvspelbara och … det här är en buggfixuppdatering och redan befintliga användare som har betalat för appen kan inte spela med iOS 15 “, skrev Oriol Gómez sentís.
“Till min fasa svarade de och sa att ja,” vi förstår att din app har voiceover “, hej? Min app har voiceover? Men tyvärr är avvisningen fortfarande på plats.”
Tidigt på måndagsmorgonen sa utvecklaren att Apple hade godkänt uppdateringen, men appen förblev i strid med riktlinjerna för App Store.
Relaterad täckning
Apple släpper uppdateringar för Catalina och iOS 12.5.5-sårbarheter EU vill att USB-C ska bli standard laddningsport för alla smartphones för att begränsa e-avfall Gillar inte iPhone: s nya Safari i iOS 15? Så här åtgärdar du Apple förbjuder Epic Games från App Store tills alla tvister är slutförda Facebook ser turbulens under tredje kvartalet över Apples sekretessändringar
Relaterade ämnen:
Apple Security TV Data Management CXO Data Center