本文转载自微信公众号《开源的前沿》,作者源美编辑。转载本文请联系开源前线公众号。近日,一位安全研究人员爆料称,半年前他向苹果提交了4个影响iOS系统的安全漏洞,但截至上周发布的iOS15,苹果只更新了1个漏洞,这意味着仍然存在漏洞。iOS15。有3个安全漏洞。根据苹果的安全漏洞奖励计划,只要研究人员捕获漏洞并提交给苹果,就能获得相应的奖励,而苹果会在“安全公告”中提及研究人员的贡献,但illusionofchaos指出,苹果并没有他安全公告中提到了,他对这三个漏洞已经很久没有修补了,颇感失望。虽然苹果向他道歉并承诺会尽快修复漏洞,但之后又发布了三个更新版本,都没有修复这个bug。此外,托卡列夫还在苹果安全赏金页面上表示,他报告的漏洞价值为10万美元。然而,Apple总是拖延付款,甚至不说明原因拒绝付款,或者支付的金额远低于他们在其网站上声称的金额。因此,illusionofchaos向苹果发出了最后通牒。如果没有合理解释,将公布三个漏洞。他认为,自己等待的时间已经远远超过了行业的沉寂期,比如Google的90天,ZDI的120天。.因此,illusionofchaos爆料这三个未修复的漏洞分别是Gamed0-day、NehelperEnumerateInstalledApps0-day和NehelperWifiInfo0-day。其中最严重的是Gamed0-day。任何从AppleStore安装的应用程序都可以在未经用户许可的情况下访问AppleID邮箱、账户全名、身份验证、CoreDuet数据库等数据。NehelperEnumerateInstalledApps0-day允许一个应用程序通过BundleID来确定设备上安装了哪些应用程序;NehelperWifiInfo0-day允许可以访问位置信息的应用程序在未经授权的情况下使用Wifi网络。在漏洞被披露后,苹果也对illusionofchaos做出了如下回应:“我们已经看到你关于这个问题的博文和你的其他报告。对于延迟回复您,我们深表歉意,“目前,我们仍在调查这些问题以及我们如何解决这些问题以保护客户。再次感谢您花时间向我们报告这些问题,我们感谢您的帮助.IfyouhaveQuestions,pleasetellus.你怎么看这件事?综合自:https://finance.ettoday.net/news/2089258,https://www.newsdirectory3.com/security-researchers-announce-三零-day-vulnerabilities-in-ios-15-because-apples-bug-reward-program-isnt-working-gigazine/
