財經
熱線
大頭症?蘋果不理會安全漏洞回報 資安人員怒揭3處缺失
資安人員向蘋果回報安全漏洞卻不被重視,因此對外公布3項漏洞。(示意圖/黃耀徵攝)
國外資安人員在今年3至5月時先後向蘋果通報4處關於iOS15的漏洞,根據資安界慣例,蘋果應該要承認漏洞並且公開資安人員的回報且提供對應獎金,但蘋果僅處理其中1項漏洞,且沒有公開其貢獻,甚至另3處漏洞遲遲未修正,該名資安人員對此不滿,直接公開剩餘3處漏洞。
暱稱「IllusionOfChaos」的資安人員指出,在2021年3至5月間向蘋果回報4處關於iOS 15的安全漏洞,其中1處名為「Analyticsd」,主要關於App在未經用戶同意下可以自行存取iPhone的隱私iOS分析資訊。
雖然蘋果已經在7月的更新中修正,但在公告中並未提及他的貢獻,因此向蘋果反應,蘋果承諾在下次更新會補上資訊,但蘋果在接下來3次更新都沒有履行。
且剩餘3處安全漏洞也未見蘋果進行處理,根據資安界回報安全漏洞的緘默期慣例,Google為90天、ZDI(Zero Day Initative)為120天,但從回報至今已經超過上述的時限。
其中1個名為「Gamed 0-Day」的漏洞,甚至可以允許App Store下載非經授權的Apple ID、信箱、帳號、驗證以及聯絡人資料庫等,讓iPhone的隱私全都被擷取。
因此「IllusionOfChaos」就在上週公開漏洞,蘋果一直到週日才聯繫,表示內部已經在處理漏洞,並對於遲未回應感到抱歉,將會妥善處裡;不過資安社群有用戶透露,蘋果此舉已經不是第一次,常會選擇性忽略安全漏洞回報。