Questo sito contiene link di affiliazione per cui può essere compensato

Home » Macity - Apple » Mondo iOS » il mio iPhone » Apple avrebbe ignorato tre segnalazioni di vulnerabilità

Apple avrebbe ignorato tre segnalazioni di vulnerabilità

Pubblicità

Nel 2019 Apple ha attivato il programma Bug Bounty offrendo fino a 1 milione di dollari a chi individua vulnerabilità critiche di iOS, iPadOS, macOS, tvOS e watchOS.

L’obiettivo del Bug Bounty è ovviamente quello di rendere le piattaforme software di Apple più sicure, permettendo a chi effettua le segnalazioni di ricevere riconoscimenti e ricompense in denaro per la segnalazione di bug, in particolar modo di quelli relativi ad exploit e vulnerabilità.

Più volte alcuni ricercatori hanno riferito di non essere troppo entusiasti del Bug Bounty di Apple e un ricercatore che usa lo pseudonimo “illusionofchaos” conferma quella che definisce “un’esperienza frustrante”.

L’anonimo ricercatore riferisce di avere segnalato a Apple vulnerabilità zero-day tra marzo e maggio di quest’anno ma a suo dire le tre vulnerabilità sono ancora presenti in iOS 15 e una è stata sistemata in iOS 14.7 ma senza alcun riconoscimento (nei documenti di supporto tecnico Apple evidenzia le vulnerabilità risolte dagli aggiornamenti di sicurezza e il nome e cognome della persona che le ha segnalate).

Un nuovo malware infetta il Mac tramite i progetti Xcode

Il ricercatore ha interpellato Apple, riferisce che questi ultimi si sono scusati assicurando che la mancata segnalazione è avvenuta a causa di un problema imputabile al processo di lavorazione, promettendo che il suo nome comparirà nell’elenco della pagina con i dettagli relativi alla sicurezza degli update con un prossimo aggiornamento.

Illusionofchaos riferisce di avere aveva avvisato Apple la scorsa settimana, sottolineando che dovrà rendere pubbliche le vulnerabilità individuate (prassi comune nel settore per costringere il produttore a reagire dopo un determinato periodo e forzare quindi la mano). Apple non ha risposto e pertanto il ricercatore ha reso pubbliche le vulnerabilità.

Una delle vulnerabilità è legata al  Game Center e permetterebbe a qualsiasi app installata di ottenere dati dell’utente: ID Apple e nome completo associato con quest’ultimo, il token dell’autenticazione dell’ID Apple (elemento che permette di accedere ad almeno un endpoint su *.apple.com  per conto dell’utente), accesso completo in lettura al file system per il Core Duet database (con una lista di contatti da Mail, SMS, iMessage, app di messaggistica di terze parti e metadati relativi all’interazione dell’utente con tali contatti), accesso completo in lettura al filesystem con l’accesso alle chiamate rapide e immagini della Rubrica e altri metadati.

Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione di macitynet.

Offerte Apple e Tecnologia

Le offerte dell'ultimo minuto le trovi nel nostro canale Telegram

Offerte Speciali

Dieci regali Apple da acquistare su Amazon con consegna prima di Natale

I migliori prodotti Apple con sconto su Amazon e che arrivano entro Natale

Arrivano in tempo per i vostri acquisti di fine anno. Comodissimi per chiudere un bilancio con le spese più utili per il lavoro.
Pubblicità

Ultimi articoli

Pubblicità