Apple ответила пользователю Хабра (Денису Токареву), который рассказал в своём блоге о трёх уязвимостях нулевого дня в iOS 15. Некоторые из них могут позволить приложениям иметь несанкционированный доступ к личным данным пользователя.
Компания принесла извинения, что не выходила на связь несколько дней и заявила, что специалисты уже работают над изучением всех брешей безопасности. Motherboard считает, что компания дала ответ только из-за шумихи, поднятой СМИ.
Денис в новой заметке на Хабре жалуется, что Apple до сих пор не указала исправление уязвимости analyticsd в списке изменений безопасности.
Хотя, по словам компании, возможность применения эксплоита была устранена ещё в iOS 14.7. Тем не менее ни в 14.7.1, ни в 14.8, ни в 15.0 это не указано. [AppleInsider]
(33 голосов, общий рейтинг: 4.55 из 5)
Василий Шкодник
@podogreykinГлавный любитель технологий и Звёздных воин в галактике. До сих пор слушаю музыку с iPod. Есть вопрос или замечание: [email protected]
14 комментариев
Форум →Тема не раскрыта. Денег за находку ему дадут?
@KaerLaeda, нет, надо еще шуму, поэтому и молчали естественно
@KaerLaeda, В теории заслужил и много
на практике подострал имиджу корпорации
в итоге будет по нулям
@packshot, имидж не имидж, но у них же вроде официально объявлена программа по оплате найденных багов.
@KaerLaeda, пфффф, эти евреи и спасибо не скажут.
@KaerLaeda, дадут. Там уязвимости очень условные. Формально приложения могут получить доступ к данным, которого у них не должно быть. Но эти данные никакой особой ценности не представляют и пользователь никакой опасности не подвергается.
Видать просто самый низкий приоритет присвоили, а чувак изошел на гвно из-за того что ему никакого ответа не прислали
@?, Несанкционированный доступ к логам устройства без запроса пользователя не такой уж и маленький недочёт со стороны Apple.
В целом показано как на самом деле обстоят дела с защитой внутри iOS. Сама защита не плохая, но вывод следующий:
– Всё управляется записями в подписанном xml. Apple не позволяет вызвать что попало ьбез официального признания, что приложению это нужно.
– Открыть доступ к установке приложений Apple очень боится – это откроет путь ко всем API и безопасной платформа перестанет быть совсем.
– В других платформах без разрешения в манифесте не будет получен доступ к апи. Более продвинутый механизм. Здесь же он держится только на подписи со стороны Apple.
– Закрыть все возможные использования стороннего АПИ в обход entitelments не представляется возможным.
– Существует горстка АПИ, которые ничем не прикрыты, кроме поиска по коду строки вызова этой функции, что прячется на ура.
@MatveyYo, “В других платформах без разрешения в манифесте не будет получен доступ к апи.” Это разрешение даёт пользователь или как?
@MatveyYo, в других платформах все тоже самое. Вполне нормальный механизм защиты у Apple, проблема в проверках внутри конкретных Api вызовах
@?, у чела реальная какая-то проблема с Apple, многолетняя. В общем, у него сново обострение!
Покойся с миром, Эль Риситас.
Всегда смотрю его смех))
@Diablo2, не знал, что он умер… очень жаль:(
@Diablo2, и я пропустил как-то, что он умер.
чё?
Нашли орфографическую ошибку в новости?
Выделите ее мышью и нажмите Ctrl+Enter.Как отменить подписку на приложение App Store, если нет гаджета Apple
Почему в сообщениях iPhone постоянно подставляет удаленный контакт
Как в macOS изменить настройки сглаживания шрифтов
Почему iPhone перестал определять местоположение
Тупит Viber на macOS, как исправить
Как исправить ошибку iTunes «от устройства получен недействительный ответ»?
Как сбросить AirPods до заводских настроек
Почему iPhone не предлагает поделиться паролем от Wi-Fi