आईओएस 15 में डे ज़ीरो • इतिहास . पर तीन दोषों के लिए एक शोषण कोड प्रकाशित किया गया था

Apple द्वारा अपने सुरक्षा इनाम कार्यक्रम के संचालन से परेशान होकर, एक बग शोधकर्ता ने Apple के नए जारी किए गए iOS 15 मोबाइल ऑपरेटिंग सिस्टम में तीन सुरक्षा छेदों के लिए एक प्रूफ-ऑफ-कॉन्सेप्ट शोषण कोड जारी किया।

बुघंटर, रूस स्थित आईटी ब्लॉग पर गुरुवार को पोस्ट किया गया अति “IllusionOfChaos” नाम के तहत और ट्विटर के लिए इसी नाम के तहत, उन्होंने ऐप्पल की भेद्यता रिपोर्ट को संभालने के साथ निराशा व्यक्त की।

“मैंने इस साल 10 मार्च और 4 मई के बीच चार 0-दिवसीय भेद्यता की सूचना दी, और अब तक उनमें से तीन अभी भी नवीनतम iOS संस्करण (15.0) में हैं और एक 14.7 में तय किया गया था, लेकिन Apple ने इसे कवर करने और डॉन ‘ टी इसे सूचीबद्ध करें सुरक्षा सामग्री पृष्ठशोधकर्ता ने लिखा।

“जब मैंने उनका सामना किया, तो उन्होंने माफी मांगी, मुझे आश्वासन दिया कि यह एक प्रसंस्करण समस्या के कारण था और इसे अगले अपडेट के लिए सुरक्षा सामग्री पृष्ठ पर शामिल करने का वादा किया था। तब से तीन रिलीज़ हो चुके हैं और उन्होंने हर बार अपना वादा तोड़ा है।”

शोधकर्ता ने कहा कि कमजोरियों को खोलना जिम्मेदार प्रकटीकरण प्रथाओं के अनुरूप है, यह देखते हुए कि Apple को सूचित किया गया था और उसने कुछ नहीं किया।

ऐप्पल गुरुवार को जारी किया गया सुधार macOS कैटालिना के लिए एक अलग शून्य दिन से निपटने के लिए, दस दिन पहले इसी तरह की कसरत से गुजरना पता करने के लिए iMessage जीरो-क्लिक एरर का उपयोग मानवाधिकार कार्यकर्ताओं और अन्य खामियों को लक्षित करने के लिए किया जाता है।

तीन अप्रकाशित iOS दोषों में शामिल हैं:

  • 0 दिन खेलें, जो संवेदनशील डेटा जैसे कि Apple ID ईमेल पता, पूरा नाम, संबद्ध Apple ID प्रमाणीकरण टोकन, और साझा संपर्क डेटाबेस, स्पीड डायल डेटाबेस और पता पुस्तिका तक पहुँच प्रदान करता है।
  • नेहेल्पर 0 दिनों के लिए इंस्टॉल किए गए ऐप्स की गणना करता है, जो उपयोगकर्ता द्वारा इंस्टॉल किए गए किसी भी एप्लिकेशन को यह निर्धारित करने की अनुमति देता है कि कोई अन्य एप्लिकेशन इंस्टॉल है या नहीं।
  • नेहेल्पर वाईफ़ाई जानकारी 0 दिन, जो स्थान एक्सेस अनुमति वाले ऐप को आवश्यक पात्रता के बिना वाईफाई का उपयोग करने की अनुमति देता है।
READ  नेटफ्लिक्स किसी शो या मूवी को रोकने के लिए एक टाइमर फीचर का परीक्षण कर रहा है

निश्चित दोष घ. विश्लेषिकी, उपयोगकर्ता द्वारा इंस्टॉल किए गए एप्लिकेशन को मेडिकल डेटा, डिवाइस उपयोग की जानकारी, डिवाइस एक्सेसरी डेटा, क्रैश डेटा और देखे गए वेब पेजों की भाषा सेटिंग्स वाले एनालिटिक्स लॉग के एक सामान्य सेट तक पहुंचने की अनुमति देता है।

IllusionOfChaos ने कहा कि इस डेटा का संग्रह गोपनीयता के बारे में Apple के दावों के पाखंड को दर्शाता है। शोधकर्ता ने कहा, “यह सारा डेटा एकत्र किया गया और हमलावर को उपलब्ध कराया गया, भले ही सेटिंग में शेयरिंग एनालिटिक्स बंद हो।”

ऐप्पल वॉच कीबोर्ड ऐप फ़्लिकटाइप (जो इस साल की शुरुआत में था) के पीछे डेवलपर कोस्टा एलिफथेरियो, ऐप स्टोर का दुरुपयोग करने के लिए ऐप्पल के खिलाफ मुकदमा दर्ज करें), ट्विटर के माध्यम से कि उन्होंने आईओएस 14.8, आईओएस 15, और . पर गेम 0-दिन का परीक्षण किया पुष्टि की कि यह काम करता है जैसा विज्ञापित किया गया।

फ्री सिक्योरिटी प्रोजेक्ट के संस्थापक सुरक्षा शोधकर्ता पैट्रिक वार्डले ने कहा: उद्देश्य दृश्य और सिक्योरिटी बिज़ सिनैक में शोध निदेशक, अभिलेख. “कोई भी ऐप जिसने (एबी) इसका उपयोग करने की कोशिश की, उसे पहले ऐप्पल द्वारा आईओएस ऐप स्टोर के माध्यम से अनुमोदित किया जाना चाहिए।”

वार्डले ने कहा, “मेरे लिए, सबसे बड़ा रास्ता यह है कि ऐप्पल आईओएस को ज्ञात बगों के साथ शिप करता है,” यह देखते हुए कि इल्यूजनऑफचाओस ने महीनों पहले बग्स की रिपोर्ट करने का दावा किया है। “और यह कि सुरक्षा शोधकर्ता ऐप्पल बग बाउंटी प्रोग्राम से इतने निराश हैं कि वे सचमुच इसे छोड़ देते हैं, मुफ्त बग ऑनलाइन पोस्ट करने के लिए (संभावित) धन को अस्वीकार कर देते हैं।”

वार्डले ने कहा कि उन्होंने ऐप्पल सिक्योरिटी बाउंटी प्रोग्राम फेयर के लिए शोधकर्ता की आलोचना पर विचार किया।

READ  डंगऑन और ड्रेगन की घोषणा की जाएगी 2022 इस सप्ताह बुक करें

“ऐसा नहीं है कि Apple के पास इसे ठीक करने के लिए संसाधन या पैसा नहीं है,” उन्होंने कहा। “यह स्पष्ट रूप से उनके लिए केवल प्राथमिकता नहीं है।” IMHO, मूल कारण Apple का अहंकार है। (वे अभी भी) सुरक्षा शोधकर्ताओं या व्हाइट-हैट हैकर्स को एक ही तरफ नहीं देखते हैं।”

“Apple की होमलैंड सिक्योरिटी टीम इसे समझती है, लेकिन उच्च सांस्कृतिक स्तर पर, उन्होंने सभी साइडर पिया है, यह सोचते हुए कि उनका तरीका सही तरीका है, और उन्हें किसी बाहरी मदद की आवश्यकता नहीं है।”

जबकि कुछ डेवलपर्स ने Apple सुरक्षा इनाम पाया है पुरस्कृतअन्य लोग IllusionOfChaos द्वारा व्यक्त की गई निराशा को साझा करते हैं। जुलाई, 2020 में, जेफ जॉनसन, जो ऐप बिज़ लैपकैट सॉफ्टवेयर चलाते हैं, इसे गोपनीयता को दरकिनार करते हुए सुरक्षा भेद्यता के साथ जनता के लिए जारी किया गया था क्योंकि Apple अपने द्वारा बताई गई त्रुटि को ठीक करने में विफल रहा। उन्होंने उस समय कहा अभिलेखApple उत्पाद सुरक्षा से बात करना एक ईंट की दीवार से बात करने जैसा है।

अभिलेख Apple से टिप्पणी मांगी गई, लेकिन ईंट की दीवार ने कोई जवाब नहीं दिया। ®

प्रातिक्रिया दे

आपका ईमेल पता प्रकाशित नहीं किया जाएगा. आवश्यक फ़ील्ड चिह्नित हैं *