据MacRumors报道,2019年,苹果向公众开放了其安全奖励计划,向与苹果共享iOS,iPadOS,macOS,tvOS或watchOS安全漏洞的关键研究人员提供最高100万美元的奖励,包括利用这些漏洞的技术该计划旨在帮助苹果保持其软件平台尽可能的安全
在此之后,一些报道显示,一些安全研究人员对该计划不满意,现在一名使用别名illusionofchaos的安全研究人员分享了他们类似的令人沮丧的经历。
在安全研究员Kosta Eleftheriou强调的一篇博文中,这位不愿透露姓名的人表示,他们在今年3月至5月向苹果报告了四个零日漏洞,但他们表示iOS 15中仍存在三个漏洞,iOS 14.7中修复了一个漏洞,但苹果没有给他们任何奖励。
我想分享我参加苹果安全奖励计划的沮丧经历今年3月10日到5月4日,我报告了四个零日漏洞到目前为止,其中有三个在最新的iOS版本中仍然存在,还有一个在14.7中被修复,但苹果决定掩盖它,不将其列在安全内容页面上当我与他们对质时,他们道歉了,向我保证这是因为处理问题而发生的,并承诺在下次更新的安全内容页面上列出从那以后,出现了三个版本,每次都违背了承诺
这位人士说,上周,他们警告苹果,如果他们没有收到回应,他们将公开他们的研究可是,苹果无视这一要求,导致他们公开披露这些漏洞
IT之家了解到,零日漏洞之一与游戏中心有关,据称游戏中心允许从App Store安装的任何应用程序访问一些用户数据。
—Apple ID电子邮件及其关联的全名。
—对Core Duet数据库的完整文件系统读取权限,包括来自电子邮件,短信,iMessage和第三方消息应用程序的联系人列表,关于所有用户与这些联系人交互的元数据以及一些附件。
iOS 15中显然还存在另外两个零日漏洞,iOS 14.7中修补的漏洞在博文中也有详细说明。
苹果没有回应这篇关于iOS系统零日漏洞的博文。