Apple не устранила три из четырёх уязвимостей в iOS, обнаруженных пользователем «Хабра»
Компания не выплатила ему вознаграждение по программе Apple Security Bounty.
Пользователь «Хабра» под ником illusionofchaos обнаружил в iOS четыре уязвимости. В апреле он заявил о них поддержке Apple. В ответ на отправленный подробный отчёт компания заявила, что ознакомилась с ним и проводит расследование.
В июле при выпуске следующей iOS 14.7 устранение обозначенных пользователем уязвимостей на странице обновлений безопасности не было отображено. Он писал в техподдержку Apple, но компания не выплатила ему вознаграждение по программе Apple Security Bounty.
За прошедшие полгода ответа от купертиновцев он не получил. Согласно обнаруженным уязвимостям, без разрешения можно получить информацию о пользователе, в том числе адрес электронной почты аккаунта Apple ID и полное имя.
Также можно получить доступ к контактам электронной почты, SMS и iMessage и некоторым вложениям сообщений, данные о том, какие приложения установлены на устройство, а также информацию о Wi-Fi-подключении.
Все эти уязвимости работают через private api. Согласно условиям программы Apple Security Bounty, обнаружение таких ошибок купертиновцы оценивает в 100 000 долларов. Устранила Apple лишь одну из четырёх найденных illusionofchaos ошибок.
Уязвимость позволяла получить доступ к медицинской информации, данным об использовании устройства, информации об аксессуарах, а также данным о языках страниц сайтов, которые просматривались в Safari. По этой причине он опубликовал данные об уязвимостях в открытом доступе.