あるセキュリティ研究者が、今年初めに同社に最初に報告した脆弱性に対してAppleがパッチを当てていないと3つのiOSゼロデイ脆弱性についての詳細を発表しました。
「Illusion of Chaos」と名乗るこの研究者は、ロシアのブログプラットフォーム「Habr」で調査結果を公開し、各脆弱性の概念実証コードを「GitHub」で公開しています。
脆弱性については以下の通りです
- Gamedデーモンに脆弱性があり、AppleIDのメール、名前、authトークンなどのユーザーデータへのアクセスを許可したり、ファイルシステムへのアクセスを許可したりすることができる。PoCはこちら
- nehelperデーモンに脆弱性があり、アプリの中で、デバイスにインストールされている他のアプリを知ることができます。PoCはこちら
- nehelperデーモンには、アプリ内からデバイスのWiFi情報へのアクセスに利用できる脆弱性があります。PoCはこちら
研究者によると、これらの脆弱性はリリースされたiOS 15でも利用可能であるとのことです。
また、研究者はiOSのAnalyticsdデーモンに影響を与える4つ目の問題について、概念実証コードを公開しました。
この問題は、4月にアップル社に報告した4つのバグのうちの1つでしたが、7月のiOS 14.7でOSメーカーがパッチを当てた唯一の脆弱性でした。
Apple社はこの3つの問題が “コード実行 “につながる可能性がないため、優先順位をつけなかったのではないかとのことです。
Apple Security Bountyプログラムに参加して、悔しい思いをした経験を共有したいと思います。私は今年の3月10日から5月4日の間に4つの0-day脆弱性を報告しましたが、現時点で3つは最新のiOSバージョン(15.0)にまだ存在し、1つは14.7で修正されていますが、Appleはそれを隠蔽し、セキュリティコンテンツのページに掲載しないことにしました。
私が彼らに問いただすと、彼らは謝罪し、処理上の問題で起こったと断言し、次のアップデートのセキュリティコンテンツのページに記載すると約束しました。その後、3回のリリースがありましたが、彼らは毎回その約束を破りました。
10日前、私は説明を求め、もし説明を受けられなければ私の研究を公開すると警告しました。私の要求は無視されたので、私は自分が言ったことを実行しています。
https://habr.com/ru/post/579714/
いずれの研究者も、Appleのバグバウンティプログラムに問題を報告したものの、無視されたり、バグバウンティが減らされたり、作業に対する支払いが遅れたりしていました
Appleのバグバウンティプログラムに落胆した別の研究者も、iOS 15のリリース日に、iOSのロック画面のバイパスを公開することを決めたようです。
Washington Postの記事には、Appleのセキュリティチームがバグレポートを何ヶ月も放置したり、不完全な修正プログラムを出荷したり、報酬を低く見積もったり、苦情を言った研究者をプログラムから追放したりしていることについて、他の研究者からの同様の告発が掲載されていました。
セキュリティ業界におけるアップル社の評判の悪さは、”顧客にとって安全性の低い製品を提供することになり、結果的にコストが増大する “と述べています。
Comments