Connect with us

Deutsch

Verärgerter Sicherheitsforscher findet einen Weg, Apple zum Reden zu bringen, lässt drei iOS-Schwachstellen fallen

Published

on

Bild: Apfel

Die meiste Zeit des Jahres 2021 führte ein Sicherheitsforscher namens illusionofchaos ein ergebnisloses Gespräch mit Apple, um eine Reihe von Schwachstellen zu beheben, die es Apps ermöglichen, API-Aufrufe zu tätigen, um Benutzerinformationen abzurufen, die sie nicht können sollten.

Am Freitag ging der Forscher mit seinen Ergebnissen an die Öffentlichkeit, die eine in iOS 14.7 behobene Schwachstelle und drei ungepatchte Schwachstellen enthielten.

Die behobenen Fehler betrafen Analyticsd und ermöglichten Apps den Zugriff auf Protokolle mit medizinischen Informationen, Gerätenutzungsinformationen, Anwendungsabstürzen und Informationen zu Gerätezubehör.

Zu den ungepatchten Sicherheitslücken gehörten, dass der Gamed-Dienst die Gamecenter-Berechtigungen nicht ordnungsgemäß überprüfte und den Zugriff auf die Core Duet-Datenbank ermöglichte, die alle Kontakte von Mail, SMS, iMessages und einigen Anhängen enthält; Apple-ID-E-Mail, vollständiger Name und Authentifizierungstoken, die den Zugriff auf mindestens einen apple.com-Endpunkt ermöglichen; und Lesezugriff auf die Kurzwahldatenbank und das Adressbuch.

Eine Schwachstelle in Nehelper ermöglichte es einer App zu überprüfen, ob eine andere App installiert wurde, und ein weiterer Nehelper-Bug ermöglichte den unbefugten Zugriff auf Wi-Fi-Informationen.

Der Forscher sagte, als Apple das Analyticsd-Problem behob, wurden sie nicht gutgeschrieben, wobei Apple im Juli sagte, dass eine Gutschrift bevorsteht. Im September wartete der Forscher immer noch.

Für jede Schwachstelle veröffentlichte der Forscher Proof-of-Concept-Code auf GitHub.

Am Samstag erhielt der Forscher eine Antwort von Apple, in der es hieß, den Blog-Beitrag gesehen zu haben, und entschuldigte sich für die Verzögerung.

“Wir möchten Sie wissen lassen, dass wir diese Probleme noch untersuchen und wie wir sie zum Schutz unserer Kunden angehen können. Nochmals vielen Dank, dass Sie sich die Zeit genommen haben, uns diese Probleme zu melden, wir danken Ihnen für Ihre Unterstützung”, sagte Apple.

ZDNet hat Apple am Freitag um einen Kommentar gebeten, aber wir warten noch auf eine Antwort.

Am Wochenende ein blinder Entwickler beschwerte sich dass Apple ein Update als Spam bezeichnet hatte, um eine barrierefreie Version von Hangman auf iOS 15 laufen zu lassen.

“Meine App ist für Blinde gemacht und alle anderen Henkerspiele, die ich im App Store gesehen habe, sind halb spielbar und … dies ist ein Bugfix-Update und bereits bestehende Benutzer, die für die App bezahlt haben, können nicht mit iOS spielen 15”, schrieb Oriol Gómez sentís.

“Zu meinem Entsetzen antworteten sie, dass ja, ‘wir verstehen, dass Ihre App Voice-Over hat’, hallo? Meine App hat Voice-Over? Aber leider ist die Ablehnung immer noch vorhanden.”

In den frühen Morgenstunden des Montagmorgens sagte der Entwickler, Apple habe das Update genehmigt, aber die App verstoße weiterhin gegen die App Store-Richtlinien.

Verwandte Abdeckung

Continue Reading

Copyright © 2021 Meta Mag Inc.