072 - 201 61 16 31722016116

Professionele bouwers van jouw nieuwe game pc op maat

Nu met gratis Windows 11

Beveiligingsonderzoeker: Apple negeert al maanden 3 serieuze nuldagen in iOS 15

datum: 24-09-2021Categorie: SoftwareBron: Tweakers

Volgens een ontevreden beveiligingsonderzoeker negeert Apple drie gerapporteerde zero-day-kwetsbaarheden in iOS 15. Eén zero-day werd opgelost met iOS 14.7, zonder hem daarvoor te belonen. Om zijn ongenoegen te uiten, deelt hij nu details over de resterende kwetsbaarheden.

De beveiligingsonderzoeker, die zichzelf "illusionofchaos" noemt, beweert tussen begin maart en begin mei vier significante kwetsbaarheden in het besturingssysteem van Apple te hebben ontdekt, legt hij uit in een blogpost . Slechts één van de kwetsbaarheden zou zijn verholpen, hoewel Apple volgens de onderzoeker niets over het incident naar buiten heeft gebracht. Hij ontving ook geen beloning via het controversiële Security Bounty-programma van Apple. Na verschillende onbeantwoorde verzoeken om uitleg, besloot illusionofchaos om de drie nog niet gesloten lekken te onthullen. Tot nu toe heeft Apple niet inhoudelijk gereageerd op de aantijgingen van de onderzoeker.

Volgens illusionofchaos zou het nog steeds mogelijk zijn om toegang te krijgen tot gevoelige gebruikersgegevens via de Game Center-app in iOS 15. De zeroday in kwestie zou apps die via de App Store zijn geïnstalleerd toegang geven tot de Core Duet-database. Het bevat onder andere contacten, sms-berichten, berichten en telefoonnummers. Ook het Apple ID-e-mailadres en de volledige naam van de gebruiker kunnen op deze manier worden gestolen. Ontwikkelaar Kosta Eleftheriou bevestigde dat een exploit op deze manier inderdaad mogelijk is. Hij haalde eerder de krantenkoppen nadat hij Apple had aangeklaagd wegens machtsmisbruik .

Illusionofchaos noemt in zijn blogpost ook twee iets minder ernstige zero-days die Apple tot nu toe niet behandeld zou hebben. De Nehelper Enumerate Installed Apps Zeroday geeft alle door de gebruiker geïnstalleerde apps de mogelijkheid om doelbewust te controleren of een specifieke app op een iPhone is geïnstalleerd. De Nehelper Wifi Info-kwetsbaarheid stelt door de gebruiker geïnstalleerde applicaties met toegang tot de locatiegegevens in staat toegang te krijgen tot actuele informatie over de wifi-verbinding.

De enige kwetsbaarheid die de onderzoeker heeft gevonden en die tot nu toe is verholpen, is de Analyticsd zeroday, waarmee door de gebruiker geïnstalleerde apps toegang kregen tot zeer gevoelige informatie. Hierdoor zijn medische gegevens, geslacht, leeftijd en andere geslachtsgerelateerde gegevens toegankelijk geworden. Illusionofchaos beweert dat Apple deze gebruikersgegevens verzamelt om onbekende redenen, wat zou botsen met zijn nadrukkelijke focus op privacy.

Nieuws overzicht
KvK nummer:  68747640
BTW nummer:  NL857574176B01