Un chercheur en sécurité trouve des problèmes avec les vulnérabilités de sécurité iOS et la réponse d’Apple à celles-ci

pomme ios

Crédit : Pixabay/CC0 domaine public

Un chercheur en sécurité anonyme qui s’appelle illusionofchaos a publié un rapport sur le blog informatique russe Habr, décrivant quatre vulnérabilités zero-day qu’il a trouvées dans le dernier système d’exploitation mobile iOS d’Apple et ses interactions avec les représentants du programme de primes de sécurité d’Apple. Dans son message, il affirme avoir découvert quatre vulnérabilités dans iOS, dont trois sont en suspens et une quatrième qui, selon lui, a été corrigée mais pour laquelle il n’a pas été crédité.

Apple a lancé son programme de primes de sécurité il y a plusieurs années. L’idée est que les employés non Apple peuvent examiner les produits et le code d’Apple et essayer d’identifier les vulnérabilités. Les chercheurs en sécurité qui identifient les vulnérabilités sont récompensés financièrement. Apple a remanié son programme en 2019, dans l’espoir de le rendre plus accessible et d’augmenter les paiements aux chercheurs. Malheureusement, le programme a reçu des plaintes de chercheurs en sécurité qui affirment que l’équipe d’Apple est difficile à joindre. Dans ce nouvel effort, illusionofchaos suggère qu’Apple met sa base d’utilisateurs en danger en n’apportant pas de correctifs à son nouveau système d’exploitation qui sont trouvés par des chercheurs comme lui.

Illusionofchaos affirme que la première vulnérabilité qu’il a trouvée a permis aux applications installées par l’utilisateur d’accéder aux données iOS sans avoir préalablement obtenu l’autorisation. Il affirme en outre qu’après avoir envoyé à Apple un rapport de ses conclusions, il a reçu des messages suggérant que la société examinerait le problème. Plus tard, il a découvert que le problème avait été résolu, mais il n’a pas été crédité de la découverte.

Illusionofchaos affirme également qu’il a trois autres vulnérabilités exceptionnelles qu’il a signalées à Apple. Le premier qu’il appelle gamed zero-day, il le décrit comme une vulnérabilité qui expose l’e-mail, le nom et d’autres informations de l’identifiant Apple. Le second, qu’il appelle Nehelper Wi-Fi zero-day, expose les informations Wi-Fi. Et le troisième, qu’il appelle NeHelpler Enumerate zero-day, permet aux parties intéressées de voir des informations sur les applications installées sur un appareil.

Illusionofchaos affirme qu’il a informé Apple des trois vulnérabilités et a reçu une première réponse, mais depuis lors, n’a reçu que des messages lui disant qu’Apple enquête sur le problème. Après avoir menacé de rendre les vulnérabilités publiques et n’ayant toujours pas reçu de retour, Illusionofchaos a mis sa menace à exécution en publiant ses découvertes sur un blog. Apple n’a pas encore répondu publiquement aux affirmations d’Illusionofchaos.


Apple révèle deux vulnérabilités iOS zero-day qui permettent aux attaquants d’accéder à des appareils entièrement corrigés


Plus d’information:
habr.com/en/post/579714/

© 2021 Réseau Science X

Citation: Un chercheur en sécurité trouve des problèmes avec les vulnérabilités de sécurité iOS et la réponse d’Apple à celles-ci (2021, 27 septembre) récupéré le 27 septembre 2021 à partir de https://techxplore.com/news/2021-09-problems-ios-vulnerabilities-apple-response.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.