Apple незаметно закрыла уязвимость, на которую жаловался пользователь «Хабра»
Apple тихо исправила уязвимость нулевого дня с выпуском iOS 15.0.2 в понедельник. Эта брешь в системе безопасности могла позволить злоумышленникам получить доступ к конфиденциальной пользовательской информации. Компания закрыла дыру в безопасности, не поблагодарив разработчика программного обеспечения Дениса Токарева за ее обнаружение, хотя он сообщил об ошибке за семь месяцев до этого.
CrushPixel / rozum
В июле Apple также молча исправила ошибку нулевого дня analyticsd, выпустив версию iOS 14.7 и не указав имя Токарева, который обнаружил ее. Вместо этого компания пообещала отметить его отчет в рекомендациях по безопасности для следующего обновления.
С тех пор Apple опубликовала несколько рекомендаций по безопасности (iOS 14.7.1, iOS 14.8, iOS 15.0 и iOS 15.0.1), посвященных уязвимостям iOS, но отчет Токарева об ошибке не указывала. В ответ на вопросы разработчика о том, почему так происходит, компания апеллировала к «проблемам с обработкой».
Два дня назад, после выхода iOS 15.0.2, Токарев снова написал Apple. Компания ответила разработчику, но попросила его рассматривать содержимое электронной переписки как конфиденциальное.
«По крайней мере, на этот раз они не игнорируют меня и не лгут мне», — сказал Токарев в комментарии BleepingComputer. Он также отметил в Twitter: «Кажется, у них нет отдельного протокола по работе с отчетами, которые уже были обнародованы». Пока Токарев не раскрывает содержание письма от Apple, но отмечает, что компания так и не ответила на его второе письмо по поводу уязвимости analyticsd, которое он отправил ровно месяц назад.
В общей сложности разработчик обнаружил четыре нулевых дня iOS и сообщил о них Apple в период с 10 марта по 4 мая. В сентябре он опубликовал экспериментальный код эксплойта и подробную информацию обо всех уязвимостях после того, как компания не упомянула его отчет в июле. По информации Токарева, один из джейлбрейк-разработчиков проанализировал исходные коды уязвимостей и сам за сутки написал патч, который защищает от этих уязвимостей.
Если злоумышленники успешно воспользуются четырьмя уязвимостями на незащищенных устройствах iOS, они смогут получить доступ к электронным письмам Apple ID, полным именам пользователей, токенам аутентификации Apple ID, информации об установленных приложениях, Wi-Fi и журналам аналитики.
Полный список уязвимостей нулевого дня, о которых сообщил Токарев, включает:
Gamed 0-day (исправлена в iOS 15.0.2): ошибка, которую можно использовать с помощью приложений, установленных пользователем из App Store, для предоставления несанкционированного доступа к конфиденциальным данным, обычно защищенным с помощью запроса TCC или песочницы платформы (стоит $ 100 тысяч на странице программы вознаграждений Apple Security Bounty Program);
Nehelper Enumerate Installed Apps 0-day (iOS 15.0): позволяет любому приложению определять, установлено ли какое-либо другое приложение на устройстве;
Nehelper Wifi Info 0-day (iOS 15.0): позволяет любому приложению (например, имеющему разрешение на доступ к местоположению) получить доступ к информации Wi-Fi без необходимого разрешения;
Analyticsd (исправлено в iOS 14.7): разрешает любому установленному пользователем приложению доступ к журналам аналитики.
Apple также устранила вторую уязвимость нулевого дня в iOS 15.0.2 и iPadOS 15.0.2, которая активно эксплуатируется. Ошибка CVE-2021–30883 является критическим недостатком повреждения памяти в IOMobileFrameBuffer, позволяя вредоносным приложениям выполнять команды на уязвимых устройствах с привилегиями ядра.
Пользователи в обсуждении отмечают, что такое поведение несет удар по репутации Apple, а компании нужно, как минимум, предупредить об оставшихся неисправленными уязвимостях и выплатить положенное Токареву вознаграждение.
Токарев в сентябре также написал пост на Хабре о том, как легко обойти проверки при попадании в App Store. Apple пока не отреагировала на эту публикацию.
