Üç iOS zero-day güvenlik açığı ( Temmuz’da yamalanan dördüncü güvenlik açığı) için kavram kanıtı istismar kodu (PoC), Apple’ın yamayı geciktirmesi ve araştırmacıya ödül vermemesinin ardından GitHub’da yayınlandı.
Dört adet zero-day’i bulan ve kimliği bilinmeyen araştırmacı, 10 Mart ile 4 Mayıs arasında bulduğu zafiyetleri Apple’a bildirdi. Ancak şirket güvenlik danışmanına bunun karışılığında ücret vermeden Temmuz ayında 14.7 sürümünde zafiyetlerden birini yamaladı.
Araştırmacı yaptığı açıklamada “Onlarla yüzleştiğimde özür dilediler, bunun bir daha olmayacağına dair güvence verdiler ve bir sonraki güncellemenin güvenlik içeriği sayfasında listelemeye söz verdiler o zamandan beri üç sürüm çıktı ve her seferinde sözlerini bozdular.” dedi. Tüm bu süreçlerden sonra araştırmacı Apple olan kızgınlığınında verdiği karar ile zafiyetlerin PoC kodunu yayınladı.
Yayınlanan zafiyet PoC kodları şöyle:
- Gamed 0-day (iOS 15.0): Bug exploitable through user-installed apps from App Store and giving unauthorized access to sensitive data normally protected by a TCC prompt or the platform sandbox ($100,000 on the Apple Security Bounty Program page):
- Apple ID email and full name associated with it
- Apple ID authentication token which allows accessing at least one of the endpoints on *.apple.com on behalf of the user
- Complete file system read access to the Core Duet database (contains a list of contacts from Mail, SMS, iMessage, 3rd-party messaging apps and metadata about all user’s interaction with these contacts (including timestamps and statistics), also some attachments (like URLs and texts)
- Complete file system read access to the Speed Dial database and the Address Book database, including contact pictures and other metadata like creation and modification dates (I’ve just checked on iOS 15, and this one is inaccessible, so that one must have been quietly fixed recently)
- Nehelper Enumerate Installed Apps 0-day (iOS 15.0): Allows any user-installed app to determine whether any app is installed on the device given its bundle ID.
- Nehelper Wifi Info 0-day (iOS 15.0): Makes it possible for any qualifying app (e.g., possessing location access authorization) to gain access to Wifi information without the required entitlement.
- Analyticsd (fixed in iOS 14.7): Allows any user-installed app to access analytics logs:
- medical information (heart rate, count of detected atrial fibrillation and irregular heart rhythm events)
- menstrual cycle length, biological sex and age, whether the user is logging sexual activity, cervical mucus quality, etc.
- device usage information (device pickups in different contexts, push notifications count and user’s action, etc.)
- screen time information and session count for all applications with their respective bundle IDs
- information about device accessories with their manufacturer, model, firmware version, and user-assigned names
- application crashes with bundle IDs and exception codes
- languages of web pages that users viewed in Safari
Apple konu ile ilgili bir açıklama yapmazken yazılım mühendisi Kosta Eleftheriou , Gamed sıfır gününden yararlanmak ve hassas kullanıcı bilgilerini toplamak için tasarlanan uygulamanın en son iOS sürümü olan iOS 15.0’da çalıştığını doğruladı.
Diğer güvenlik araştırmacıları ve hata ödül avcıları da Apple Güvenlik Ödül Programı aracılığıyla Apple’ın ürün güvenlik ekibine güvenlik açıklarını bildikten sonra benzer bir durum yaşadıklarını anlattılar. Ayrıca yapılan açıklama ve yorumlarda Apple’ın ödül parasını vermediğini ve zafiyetleri sessizce düzeltildiğini söylediler.
Kaynka: bleepingcomputer.com