Agrandar / El investigador seudónimo illusionofchaos se une a una legión creciente de investigadores de seguridad frustrados con la respuesta lenta de Apple y la adherencia inconsistente a las políticas cuando se trata de fallas de seguridad.

Aurich Lawson | imágenes falsas

Ayer, un investigador de seguridad que pasa illusionofchaos abandonó Noticia pública de tres vulnerabilidades de día cero en el sistema operativo móvil iOS de Apple. Las revelaciones de vulnerabilidades se mezclan con la frustración del investigador con la Recompensa de seguridad programa, que illusionofchaos dice que eligió encubrir un error informado anteriormente sin darles crédito.

Este investigador no es de ninguna manera el primero en expresar públicamente su frustración con Apple sobre su programa de recompensas de seguridad.

Buen error, ahora shhh

illusionofchaos dice que han informado de cuatro vulnerabilidades de seguridad de iOS este año: los tres días cero que revelaron públicamente ayer más un error anterior que, según dicen, Apple corrigió en iOS 14.7. Parece que su frustración proviene en gran parte de cómo Apple manejó ese primer error ahora corregido en analyticsd.

Esta vulnerabilidad ahora solucionada permitió que aplicaciones arbitrarias instaladas por el usuario accedan a los datos analíticos de iOS, lo que se puede encontrar en Settings --> Privacy --> Analytics & Improvements --> Analytics Data—Sin ningún permiso otorgado por el usuario. illusionofchaos encontró esto particularmente perturbador, porque estos datos incluyen datos médicos recopilados por Apple Watch, como frecuencia cardíaca, ritmo cardíaco irregular, detección de fibrilación auricular, etc.

Los datos de análisis estaban disponibles para cualquier aplicación, incluso si el usuario deshabilitaba el iOS Share Analytics configuración.

De acuerdo a illusionofchaos, enviaron a Apple el primer informe detallado de este error el 29 de abril. Aunque Apple respondió al día siguiente, no respondió a illusionofchaos nuevamente hasta el 3 de junio, cuando dijo que planeaba abordar el problema en iOS 14.7. El 19 de julio, Apple corrigió el error con iOS 14.7, pero el lista de contenido de seguridad para iOS 14.7 no reconoció ni al investigador ni a la vulnerabilidad.

Apple dijo illusionofchaos que el hecho de no revelar la vulnerabilidad y darles crédito era solo un «problema de procesamiento» y que se notificaría adecuadamente en «una próxima actualización». La vulnerabilidad y su resolución aún no se reconocieron a partir de iOS 14.8 el 13 de septiembre o iOS 15.0 el 20 de septiembre.

La frustración con este fracaso de Apple para cumplir sus propias promesas llevó a illusionofchaos para amenazar primero y luego descartar públicamente los tres días cero de esta semana. En illusionofchaosSus propias palabras: «Hace diez días pedí una explicación y advertí entonces que haría pública mi investigación si no recibía una explicación. Mi solicitud fue ignorada, así que estoy haciendo lo que dije que haría».

No tenemos plazos concretos para illusionofchaos‘divulgación de los tres días cero, o de la respuesta de Apple a ellos, pero illusionofchaos dice que las nuevas divulgaciones aún se adhieren a las pautas responsables: «Google Project Zero revela vulnerabilidades en 90 días después de informarlas al proveedor, ZDI, en 120. He esperado mucho más, hasta medio año en un caso».

Nuevas vulnerabilidades: gamed, nehelper enumerate, nehelper Wi-Fi

Los días cero illusionofchaos Drop ayer puede ser utilizado por aplicaciones instaladas por el usuario para acceder a datos que esas aplicaciones no deberían tener o a los que no se les ha otorgado acceso. Los enumeramos a continuación, junto con enlaces a illusionofchaos‘Repositorios de Github con código de prueba de concepto, en orden de (nuestra opinión sobre) su gravedad:

  • Jugado de día cero expone el correo electrónico de ID de Apple y el nombre completo, tokens de autenticación de ID de Apple explotables y acceso de lectura a las bases de datos de Core Duet y Speed ​​Dial
  • Nehelper Wi-Fi de día cero expone información de Wi-Fi a aplicaciones a las que no se les ha otorgado ese acceso
  • Nehelper Enumerar día cero expone información sobre qué aplicaciones están instaladas en el dispositivo iOS

El día 0 de juego es obviamente el más severo, ya que expone información de identificación personal (PII) y puede usarse en algunos casos para poder realizar acciones en *.apple.com que normalmente tendría que ser instigado por el propio sistema operativo iOS o por interacciones directas del usuario.

El acceso de lectura de día cero de Gamed a las bases de datos de Core Duet y Speed ​​Dial también es particularmente preocupante, ya que ese acceso se puede usar para obtener una imagen bastante completa de todo el conjunto de interacciones del usuario con otros en el dispositivo iOS, quién está en su contacto. lista, con quién se han puesto en contacto (utilizando aplicaciones tanto de Apple como de terceros) y cuándo, y en algunos casos incluso archivos adjuntos a mensajes individuales.

El día cero de Wi-Fi es el siguiente en la lista, ya que el acceso no autorizado a la información de Wi-Fi del dispositivo iOS podría usarse para rastrear al usuario o, posiblemente, aprender las credenciales necesarias para acceder a la red Wi-Fi del usuario. El rastreo suele ser una preocupación más seria, ya que la proximidad física generalmente se requiere para que las credenciales de Wi-Fi sean útiles.

Una cosa interesante sobre el día cero de Wi-Fi es la simplicidad tanto de la falla como del método por el cual se puede explotar: «XPC endpoint com.apple.nehelper acepta el parámetro sdk-version proporcionado por el usuario, y si su valor es menor o igual a 524288, com.apple.developer.networking.wifi-info entitlement se omite el cheque «. En otras palabras, todo lo que necesita hacer es afirmar que está usando un kit de desarrollo de software más antiguo y, si es así, su aplicación puede ignorar el cheque que debe revelar si el usuario consintió en acceder.

El día cero de Nehelper Enumerate parece ser el menos dañino de los tres. Simplemente permite que una aplicación verifique si hay otra aplicación instalada en el dispositivo al consultar la información de la otra aplicación. bundleID. No hemos encontrado un uso particularmente aterrador de este error por sí solo, pero una aplicación de malware hipotética podría aprovechar dicho error para determinar si una aplicación de seguridad o antivirus está instalada y luego usar esa información para adaptar dinámicamente su propio comportamiento a mejor evitar la detección.

Conclusiones

Asumiendo illusionofchaosLa descripción de su cronograma de divulgación es correcta: que han esperado más de 30 días, y en un caso 180 días, para divulgar públicamente estas vulnerabilidades, es difícil culparlos por la caída. Deseamos que hubieran incluido líneas de tiempo completas para su interacción con Apple en las cuatro vulnerabilidades, en lugar de solo la ya corregida.

Podemos confirmar que esta frustración de los investigadores con las políticas de recompensa de seguridad de Apple no se limita de ninguna manera a este investigador seudónimo. Desde que Ars publicó un pieza A principios de este mes, sobre la respuesta lenta e inconsistente de Apple a las recompensas de seguridad, varios investigadores se han puesto en contacto con nosotros en privado para expresar su propia frustración. En algunos casos, los investigadores incluyeron videoclips que demostraban las vulnerabilidades de errores aún sin corregir.

Nos comunicamos con Apple para hacer comentarios, pero aún no hemos recibido ninguna respuesta al cierre de esta edición. Actualizaremos esta historia con cualquier respuesta de Apple a medida que llegue.

Author

Write A Comment