トップページ > 最新情報 > 「報告してもAppleが無視」と研究者が訴え〜iOS15に3つのゼロデイ脆弱性
2021年9月25日 05時41分

読了まで 225

「報告してもAppleが無視」と研究者が訴え〜iOS15に3つのゼロデイ脆弱性

apple ロゴ


 
iOSにゼロデイ脆弱性が存在することをAppleに報告したにも関わらずAppleはそれを無視、iOS15にその脆弱性がいまだ修正されないまま存在するとして、セキュリティ研究者が自分のブログで訴えています。

4つ報告、3つは修正されないまま

セキュリティ研究者のillusionofchaos氏によると、同氏はAppleのセキュリティ・バウンティ・プログラムに参加、2021年3月10日から5月4日の間に4つのゼロデイ脆弱性を発見し、Appleに報告しました。
 
そのうち1つはiOS14.7で修正されたものの、残り3つは最新のiOS15でも修正されないまま残っていると、illusionofchaos氏は述べています。
 
しかも同氏が発見、修正に至った事実がAppleのiOS14.7のセキュリティコンテンツページに掲載されなかったため、illusionofchaos氏はその件について苦情を申し立てました。Appleは謝罪、次のアップデートで掲載すると約束したものの、現時点でも掲載されていないとのことです。

Appleから返答なし、公開に踏み切る

掲載されない一件、そして3つのゼロデイ脆弱性が放置されている件について、illusionofchaos氏は再度Appleに問い合わせました。しかし結局Appleから返答はなく、同氏は「脆弱性を報告してから十分な日数(約半年)が経過した」と判断(Google Project Zeroでは脆弱性の報告を受け取ってから90日後に公開)、現地時間9月23日、自らのブログで脆弱性および一連のAppleとのやり取りを公開しています。
 
illusionofchaos氏は「Appleのセキュリティ・バウンティ・プログラムに失望しているのは自分だけではない」と述べた上で、同氏が発見、Appleに報告したものの、現在も修正されていない脆弱性3つについて解説しています。
 
専門的な内容になるためここでは脆弱性の詳細には触れず、概要だけを記します。
 

  • Gamed 0-day:App Storeからインストールしたアプリが、ユーザーの許可なくApple IDメールなどの情報にアクセスできてしまう脆弱性。
  • Nehelper Enumerate Installed Apps 0-day:インストールしたアプリが、任意のIDに紐付けられている他のアプリがデバイスにインストールされているかどうかを判断できてしまう脆弱性。
  • Nehelper Wifi Info 0-day:条件を満たすアプリが許可なくWi-Fi情報にアクセスできてしまう脆弱性。

 
 
Source:illusionofchaos/Habr via 9to5Mac, About the security content of iOS 14.7 and iPadOS 14.7
(lunatic)

カテゴリ : 最新情報  タグ : , , , ,

▼ 最新情報を受け取る

Twitterで最新情報をみる
Facebookで最新情報をみる
IMアプリをインストールする
feedlyで最新情報をみる