iOS 15.0, tre zero-day sarebbero ancora aperte
Topic
Approfondimenti
Trending
tutti

iOS 15.0, tre zero-day sarebbero ancora aperte

Un ricercatore di sicurezza racconta di aver segnalato da tempo 4 vulnerabilità ad Apple, ma tre di queste sono ancora incluse anche nel nuovo iOS 15.
iOS 15.0, tre zero-day sarebbero ancora aperte
Informatica Sistemi operativi
Un ricercatore di sicurezza racconta di aver segnalato da tempo 4 vulnerabilità ad Apple, ma tre di queste sono ancora incluse anche nel nuovo iOS 15.
Duophenom, Pexels

La firma è quella del ricercatore di sicurezza “Illusionofchaos“, i dettagli sono messi nero su bianco: un attacco ad Apple e al suo “Bounty Program“, con l’accusa di aver prima nascosto una falla e poi di averne lasciate aperte altre tre. E il problema sarebbe ancora pienamente attivo sul nuovo iOS 15.

I Bounty Program sono piattaforme di segnalazione delle vulnerabilità (attive presso molti grandi gruppi) nelle quali si sigla un patto reciproco di responsabilità e cooperazione: il ricercatore non diffonderà dettagli sul problema, l’azienda rimborserà per il lavoro effettuato e si impegna ad una rapida risoluzione. L’attacco in questo post segnala un meccanismo che non funziona e sul quale Apple ora dovrà ricostruire il rapporto con i ricercatori di sicurezza che vi si sono impegnati.

Le tre 0-day di iOS 15.0

Così introduce i fatti:

Voglio condividere la mia frustrante esperienza nel partecipare all’Apple Security Bounty Program. Ho segnalato quattro vulnerabilità 0-day tra il 10 marzo e il 4 maggio 2021, tre sono ancora presenti nell’ultima versione di iOS (15.0) e una è stata risolta in iOS 14.7, ma Apple ha deciso di non indicarla nella lista presente sulla pagina degli aggiornamenti di sicurezza. Quando mi sono confrontato con loro, si sono scusati, assicurandomi che è successo a causa di un problema procedurale e mi hanno promesso che avrebbero risolto all’aggiornamento successivo. Sono passati tre aggiornamenti da allora e non hanno mantenuto la promessa.

Un attacco diretto al programma di Cupertino, insomma, da cui è presumibile possa giungere a breve una risposta dettagliata (occorre giocoforza sentire anche la controparte prima di poter giudicare i fatti così come raccontati dal ricercatore). Il post, infatti, contiene tre repository con tanto di codici che dimostrano le vulnerabilità, dettagliata descrizione e proof-of-concept. Al tempo stesso è stata sciorinata una precisa timeline relativa alle varie tappe attraverso cui si arriva al post odierno, con cui il ricercatore mette le carte in tavola e punta il dito contro il programma Apple per la segnalazione delle vulnerabilità.

Ora sappiamo che iOS 15 nasce probabilmente con il peccato originale e bisognerà attendere i prossimi update per una risoluzione che, a questo punto, diventa più urgente.

Fonte: HABR

Pubblicato il 24 set 2021

Link copiato negli appunti

Ti potrebbe interessare

TikTok: penalizzazioni e ammonizioni per gli utenti

TikTok: penalizzazioni e ammonizioni per gli utenti
Babbel: impara oggi una nuova lingua con lo sconto del 50%

Babbel: impara oggi una nuova lingua con lo sconto del 50%
TikTok Notes: disponibile il rivale di Instagram

TikTok Notes: disponibile il rivale di Instagram
Poche ore rimaste per aderire all’offerta di Mondly: 95% di sconto sul piano a vita

Poche ore rimaste per aderire all’offerta di Mondly: 95% di sconto sul piano a vita
TikTok: penalizzazioni e ammonizioni per gli utenti

TikTok: penalizzazioni e ammonizioni per gli utenti
Babbel: impara oggi una nuova lingua con lo sconto del 50%

Babbel: impara oggi una nuova lingua con lo sconto del 50%
TikTok Notes: disponibile il rivale di Instagram

TikTok Notes: disponibile il rivale di Instagram
Poche ore rimaste per aderire all’offerta di Mondly: 95% di sconto sul piano a vita

Poche ore rimaste per aderire all’offerta di Mondly: 95% di sconto sul piano a vita
Giacomo Dotta
Pubblicato il
24 set 2021
Link copiato negli appunti