Nel 2019 Apple ha attivato il programma Bug Bounty offrendo fino a 1 milione di dollari a chi individua vulnerabilità critiche di iOS, iPadOS, macOS, tvOS e watchOS.
L’obiettivo del Bug Bounty è ovviamente quello di rendere le piattaforme software di Apple più sicure, permettendo a chi effettua le segnalazioni di ricevere riconoscimenti e ricompense in denaro per la segnalazione di bug, in particolar modo di quelli relativi ad exploit e vulnerabilità.
Più volte alcuni ricercatori hanno riferito di non essere troppo entusiasti del Bug Bounty di Apple e un ricercatore che usa lo pseudonimo “illusionofchaos” conferma quella che definisce “un’esperienza frustrante”.
L’anonimo ricercatore riferisce di avere segnalato a Apple vulnerabilità zero-day tra marzo e maggio di quest’anno ma a suo dire le tre vulnerabilità sono ancora presenti in iOS 15 e una è stata sistemata in iOS 14.7 ma senza alcun riconoscimento (nei documenti di supporto tecnico Apple evidenzia le vulnerabilità risolte dagli aggiornamenti di sicurezza e il nome e cognome della persona che le ha segnalate).
Il ricercatore ha interpellato Apple, riferisce che questi ultimi si sono scusati assicurando che la mancata segnalazione è avvenuta a causa di un problema imputabile al processo di lavorazione, promettendo che il suo nome comparirà nell’elenco della pagina con i dettagli relativi alla sicurezza degli update con un prossimo aggiornamento.
Illusionofchaos riferisce di avere aveva avvisato Apple la scorsa settimana, sottolineando che dovrà rendere pubbliche le vulnerabilità individuate (prassi comune nel settore per costringere il produttore a reagire dopo un determinato periodo e forzare quindi la mano). Apple non ha risposto e pertanto il ricercatore ha reso pubbliche le vulnerabilità.
Una delle vulnerabilità è legata al Game Center e permetterebbe a qualsiasi app installata di ottenere dati dell’utente: ID Apple e nome completo associato con quest’ultimo, il token dell’autenticazione dell’ID Apple (elemento che permette di accedere ad almeno un endpoint su *.apple.com per conto dell’utente), accesso completo in lettura al file system per il Core Duet database (con una lista di contatti da Mail, SMS, iMessage, app di messaggistica di terze parti e metadati relativi all’interazione dell’utente con tali contatti), accesso completo in lettura al filesystem con l’accesso alle chiamate rapide e immagini della Rubrica e altri metadati.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione di macitynet.