Пользователь «Хабра» с ником illusionofchaos рассказал о четырёх уязвимостях безопасности, обнаруженных им в iOS. Ранее он сообщил о них компании Apple и вёл переписку с её сотрудниками, но не получил вознаграждение в рамках программы Bug Bounty. Apple закрыла одну из уязвимостей, а три оставшиеся по-прежнему присутствуют в iOS и представляют опасность для пользователей.
В iOS 14.7 была закрыта одна из проблем, позволявшая посторонним получить доступ к аналитическим данным: медицинской информации (пол и возраст пользователя, график пульса, длительность менструального цикла), времени сеансов в приложениях, количестве пуш-уведомлений, списку подключенных аксессуаров, списку языков на сайтах, посещённых в Safari. Выплату за сообщение об этой проблеме illusionofchaos не получил, на дальнейшие письма сотрудники Apple не отвечали, поэтому он решил обнародовать информацию о проблемах.
По словам illusionofchaos, в iOS остались ещё три найденные им уязвимости. Они позволяют тайком от пользователя получить информацию о его электронной почте, привязанной к Apple ID, имени владельца учётной записи, доступ к контактам электронной почты, SMS и iMessage, вложениям в письма и сообщения по URL-адресам, данные о подключении к Wi-Fi и информацию об установленных на устройстве приложениях. Уязвимости работают через Private API, то есть их эксплуатация возможна через приложения, опубликованные в App Store или Test Flight.
А новый iPhone и многое другое вы можете купить у наших друзей из Big Geek.
Скидка по промокоду iGuides