Nel 2019, Apple ha aperto al pubblico il suo Security Bounty Program, offrendo vincite fino a 1 milione di dollari ai ricercatori che condividono con Apple le vulnerabilità di sicurezza critiche di iOS, iPadOS, macOS, tvOS o watchOS, comprese le tecniche utilizzate per sfruttarle. Il programma è progettato per aiutare Apple a mantenere le sue piattaforme software il più sicuro possibile.
Da allora, sono emersi rapporti che indicano che alcuni ricercatori in materia di sicurezza non sono assolutamente soddisfatti del programma. Inoltre, uno di questi che si firma con lo pseudonimo “illusionofchaos”, ha condiviso la sua “esperienza frustrante”.
In un post sul blog evidenziato da Kosta Eleftheriou, il ricercatore ha affermato di aver segnalato quattro vulnerabilità ad Apple tra marzo e maggio di quest’anno, ma tre delle vulnerabilità sarebbero ancora presenti in iOS 15, mentre una è stata risolta in iOS 14.7 senza che Apple gli abbia conferito credito alcuno.
Voglio condividere la frustrante esperienza che ho vissuto partecipando al programma Apple Security Bounty. Ho segnalato quattro vulnerabilità 0-day quest’anno tra il 10 marzo e il 4 maggio, al momento tre di esse sono ancora presenti nell’ultima versione iOS (15.0) e una è stata corretta nella 14.7, ma Apple ha deciso di coprirla e non elencarlo nella pagina dei contenuti di sicurezza. Quando li ho affrontati, si sono scusati, mi hanno assicurato che era successo a causa di un problema di elaborazione e hanno promesso di elencarlo nella pagina dei contenuti di sicurezza del prossimo aggiornamento. Ci sono state tre uscite da allora e ogni volta hanno infranto la loro promessa.
La persona ha detto che la scorsa settimana ha avvertito Apple che avrebbe reso pubblica la sua ricerca se non avesse ricevuto una risposta. Tuttavia, Apple avrebbe ignorato la richiesta, portando il ricercatore a mantenere la promessa di divulgare pubblicamente le vulnerabilità.
Una delle vulnerabilità zero-day riguarda Game Center e presumibilmente consente a qualsiasi app installata dall’App Store di accedere ad alcuni dati dell’utente:
– Email ID Apple e nome completo a esso associato
– Token di autenticazione ID Apple che consente di accedere ad almeno uno degli endpoint su *.apple.com per conto dell’utente
– Accesso completo in lettura del file system al database Core Duet (contiene un elenco di contatti da Mail, SMS, iMessage, app di messaggistica di terze parti e metadati su tutte le interazioni dell’utente con questi contatti (inclusi timestamp e statistiche), anche alcuni allegati (come URL e testi)
– Accesso completo in lettura del file system al database di composizione rapida e al database della rubrica, comprese le immagini dei contatti e altri metadati come le date di creazione e modifica (questo punto sembra essere stato risolto)
Da Apple si attendono ancora commenti riguardo la vicenda.
