研究人员发布针对三个iOS零日漏洞的PoC利用代码利用代码。研究人员称,专家们在今年3月10日至5月4日期间发现了这四个零日漏洞,并向苹果公司报告。但Apple仅在7月份解决了iOS14.7中的一个错误,并且没有将研究人员归功于此。其余三个漏洞仍然存在于最新的iOS15.0版本中。他曾与苹果沟通,苹果承诺在下一次版本更新时将其添加到安全内容页面,但苹果并没有每次都兑现。研究人员将找到的零日PoC源代码上传到GitHub存储库列表,这些存储库也与Apple共享。专家解释说,每个存储库都包含一个应用程序,可以收集敏感信息并将其显示在用户界面中。这些漏洞包括:游戏零日Nehelper枚举已安装的应用程序零日NehelperWifi信息零日Analyticsd(已在iOS14.7中修复)Analyticsd在iOS14.7中得到解决,可能允许任何用户应用程序安装程序访问大量信息,例如作为分析日志,包括:医疗信息(心率、检测到的心房颤动和心律失常事件的计数)月经周期长度、生理性别和年龄等设备使用信息(不同环境下的设备拾取、推送通知计数和用户操作等).)所有应用程序的屏幕时间信息和会话计数及其各自的捆绑ID关于设备配件及其制造商、型号、固件版本和用户分配的名称由于捆绑ID和用户在Safari中查看的网页异常代码,信息应用程序崩溃:“令人非常不安的是,Apple出于未知目的收集了所有这些信息,尤其是当医疗信息被收集时收集到这个事实。这就是为什么苹果声称他们非常关心隐私是非常虚伪的。即使在设置中关闭共享分析,所有这些数据都会被收集并提供给攻击者。”
