27 de septiembre de 2021
reporte
Un investigador de seguridad anónimo que se conoce con el nombre de illusionofchaos ha publicado un informe en el blog de TI con sede en Rusia Habr, que describe cuatro vulnerabilidades de día cero que encontró en el último sistema operativo móvil iOS de Apple y sus interacciones con los representantes del programa de recompensas de seguridad de Apple. En su publicación, afirma que descubrió cuatro vulnerabilidades en iOS, tres de las cuales están pendientes y una cuarta que, además, afirma que se corrigió, pero que no se le dio crédito.
Apple inició su programa de recompensas de seguridad hace varios años. La idea es que los empleados que no sean de Apple puedan examinar los productos y el código de Apple e intentar identificar las vulnerabilidades. Los investigadores de seguridad que identifican vulnerabilidades reciben recompensas monetarias. Apple revisó su programa en 2019, con la esperanza de hacerlo más accesible y aumentar los pagos a los investigadores. Desafortunadamente, el programa ha recibido quejas de investigadores de seguridad que afirman que es difícil llegar al equipo de Apple. En este nuevo esfuerzo, illusionofchaos sugiere que Apple está poniendo en riesgo su base de usuarios al no hacer arreglos en su nuevo sistema operativo que son encontrados por investigadores como él.
Illusionofchaos afirma que la primera vulnerabilidad que encontró permitió a las aplicaciones instaladas por el usuario acceder a los datos de iOS sin que primero se les concediera permiso. Afirma además que después de enviar a Apple un informe de sus hallazgos, recibió mensajes que sugerían que la compañía investigaría el problema. Más tarde, descubrió que el problema se había resuelto, pero no se le atribuyó el hallazgo.
Illusionofchaos afirma también que tiene otras tres vulnerabilidades pendientes que ha informado a Apple. El primero al que llama «día cero», lo describe como una vulnerabilidad que expone el correo electrónico, el nombre y otra información del ID de Apple. El segundo, al que llama Nehelper Wi-Fi de día cero, expone la información de Wi-Fi. Y el tercero, al que llama NeHelpler Enumerate zero-day, permite a las partes interesadas ver información sobre las aplicaciones que están instaladas en un dispositivo.
Illusionofchaos afirma que notificó a Apple sobre las tres vulnerabilidades y recibió una respuesta inicial, pero desde entonces, solo ha recibido mensajes que le dicen que Apple está investigando el problema. Después de amenazar con hacer públicas las vulnerabilidades y seguir sin recibir comentarios, Illusionofchaos siguió adelante con su amenaza publicando sus hallazgos en un blog. Apple aún no ha respondido públicamente a las afirmaciones hechas por Illusionofchaos.
Apple revela dos vulnerabilidades de día cero de iOS que permiten a los atacantes acceder a dispositivos con parches completos
habr.com/en/post/579714/
© 2021 Science X Network
Citación: El investigador de seguridad encuentra problemas con las vulnerabilidades de seguridad de iOS y la respuesta de Apple a ellas (2021, 27 de septiembre) recuperado el 26 de octubre de 2021 de https://techxplore.com/news/2021-09-problems-ios-vulnerabilities-apple-response.html
Este documento está sujeto a derechos de autor. Aparte de cualquier trato justo con fines de estudio o investigación privados, no se puede reproducir ninguna parte sin el permiso por escrito. El contenido se proporciona únicamente con fines informativos.
GIPHY App Key not set. Please check settings