Zero-day-kwetsbaarheden gepubliceerd: Apple verontschuldigt zich bij beveiligingsonderzoekers


Apple mailde uit frustratie een beveiligingsonderzoeker die eerder een aantal nog onbekende kwetsbaarheden voor Apple-systemen had gepubliceerd. Onder andere de bugs Had toegang tot gevoelige gebruikersgegevens moeten inschakelen, was sinds het voorjaar slechts in beperkte mate door Apple verholpen – en de communicatie met de IT-beveiligingsspecialist genaamd “illusionofchaos” verliep uiterst traag.

“illusionofchaos”, wiens echte naam Denis Tokarev is, kondigde aan dat Apple via e-mail contact met hen had opgenomen verontschuldigde zich bij hem. “De blogpost met betrekking tot dit probleem en uw andere rapporten” zijn gezien. “Onze excuses voor de vertraging in onze reactie.” De e-mail die een Apple-medewerker trok, was echter niet echt nuttig. Het bedrijf heeft de door “illusionofchaos” ontdekte bugs nog steeds niet verholpen. “We zijn aan het onderzoeken” [sie] en hoe we onze klanten het beste kunnen beschermen’, zei de bedrijfsvertegenwoordiger kort en bondig. Hij bedankte de beveiligingsonderzoeker beleefd voor het nemen van de tijd om ze te melden.

Apple had een van de gemelde problemen in iOS 14.7 opgelost zonder enige informatie aan de gebruikers te geven (of zelfs een “tegoed” voor Tokarev). Er bleven echter nog drie andere fouten over, die op hun beurt de beveiligingsonderzoeker motiveerden om zelf openbaarmakingsmaatregelen te nemen in zijn blog. Ook hij heeft tot nu toe blijkbaar geen verklaring krijgen of hij recht heeft op geld van Apple’s bug bounty-programma. De verontschuldiging van Apple is ook niet de eerste – het bedrijf had eerder contact opgenomen met Tokarev en hem verteld dat ze ervoor zouden zorgen.

Het grootste probleem dat door de expert is ontdekt, lijkt te zitten in Apple’s gamenetwerk Game Center: apps die vanuit de App Store zijn geïnstalleerd, kunnen onder andere het e-mailadres en de volledige naam van de Apple ID van de gebruiker lezen.

Het moet ook mogelijk zijn om toegang te krijgen tot de “Core Duet”-database, die inzicht geeft in de communicatie van de gebruiker: deze bevat een lijst met metadata zoals tijdstempels en contacten met wie berichten zijn uitgewisseld via iMessage, e-mail en messengers van derden. In iOS 14.8 is het ook mogelijk om de volledige adresboekdatabase uit te lezen zonder toestemming van de gebruiker, wat in iOS 15 is opgelost (zonder gebruikersgegevens).


Meer van Mac & i

Meer van Mac & i


Meer van Mac & i

Meer van Mac & i



(bsc)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: