▲iOS 15被爆出還有3個零日漏洞。(圖/取自蘋果官網)
記者廖婕妤/綜合報導
一名安全研究人員指出,半年前他與蘋果通報4項影響iOS系統的安全漏洞,但截至上週釋出的iOS 15,蘋果僅更新了1項漏洞,代表iOS 15中還存在著3個安全漏洞。
[廣告] 請繼續往下閱讀.
該位化名為illusionofchaos的安全研究人員表示,今年3月到5月期間,他們向蘋果呈報了4項安全漏洞,其中一項已在iOS 14.7中修復,但剩餘的3項仍存在於最新的作業系統iOS 15之中。
根據蘋果的安全漏洞獎賞計畫,只要研究人員抓出漏洞,並向蘋果回報,將可獲得相對應的獎金,並且要在「安全公告」中提及研究人員的貢獻,但illusionofchaos指出,蘋果沒有在安全公告中提到他,也遲遲沒有修補3項漏洞,讓他感到相當失望。
雖然蘋果向他致歉,並承諾將會盡快修補漏洞,但在那之後發布了3個更新版本,都沒有看到錯誤被修復,illusionofchaos向蘋果下了最後通牒,若再等不到合理解釋,就要公布這3項漏洞,他認為他等待的時間已遠超過業界的緘默期,例如Google的90天或ZDI的120天。
因此,illusionofchaos爆料,3項未被修補的漏洞分別是Gamed 0-day、Nehelper Enumerate Installed Apps 0-day及Nehelper Wifi Info 0-day。
[廣告] 請繼續往下閱讀..
其中,最嚴重的為Gamed 0-day,從Apple Store安裝的任何應用程式,都可以在未經用戶許可之下,存取Apple ID電子郵件、帳號全名、身分驗證、Core Duet 數據庫等資料。
Nehelper Enumerate Installed Apps 0-day可使某一應用程式經由Bundle ID,判斷裝置上安裝了什麼應用程式;Nehelper Wifi Info 0-day則讓可存取定位資訊的應用程式,擅自使用Wifi網路 。