Apple corrige sus iOS zero-day, y no paga su reportero de vulnerabilidades

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Apple ha solucionado silenciosamente una vulnerabilidad de día cero 'gamed' con el lanzamiento de iOS 15.0.2, el lunes, una falla de seguridad que podría permitir a los atacantes obtener acceso a información confidencial de los usuarios.

La compañía abordó el error sin reconocer ni acreditar al desarrollador de software Denis Tokarev (Illusion Of Chaos – Twitter) por el descubrimiento, a pesar de que informó sobre el error siete meses antes del lanzamiento de iOS 15.0.2.

No acreditar los informes de errores

En julio, Apple también reparó silenciosamente una falla de día cero 'analítica' con el lanzamiento de 14.7 sin acreditar a Tokarev en el aviso de seguridad, en lugar de prometer reconocer su informe en los avisos de seguridad para una próxima actualización.

Desde entonces, Apple publicó múltiples advertencias de seguridad (iOS 14.7.1, iOS 14.8, iOS 15.0 e iOS 15.0.1) que abordan las vulnerabilidades de iOS pero, cada vez, fallaron en acreditar su informante de errores.

"Debido a un problema de procesamiento, su crédito se incluirá en los avisos de seguridad en una próxima actualización. Nos disculpamos por las molestias", le dijo Apple cuando se le preguntó por qué la lista de errores de seguridad de iOS corregidos no incluía su día cero.

Hace dos días, después del lanzamiento de iOS 15.0.2, Tokarev volvió a enviar un correo electrónico sobre la falta de crédito por las fallas de juego y análisis en los avisos de seguridad. Apple respondió, pidiéndole que tratara el contenido de su intercambio de correo electrónico como confidencial.

Esta no sería la primera vez que el equipo de seguridad de Apple solicita confidencialidad: la primera vez sucedió en agosto, cuando le dijeron que el día cero "gamed" se solucionaría en una futura actualización de seguridad y se le instó a no divulgar el error públicamente.

"A fin de cuentas, tratan la vulnerabilidad de los juegos un poco mejor que la analítica, al menos no me ignoran y me mienten esta vez", dijo Tokarev.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Otros cazarrecompensas de errores e investigadores de seguridad también han informado que han tenido experiencias similares al informar vulnerabilidades al equipo de seguridad de productos de Apple a través del Programa de recompensas de seguridad de Apple.

Algunos dijeron que los errores informados a Apple se solucionaron en silencio, y la compañía no les dio crédito, tal como sucedió en este caso.

A otros no se les pagó la cantidad que figura en la página oficial de recompensas de Apple o no han recibido ningún pago, mientras que algunos se han mantenido en la oscuridad durante meses sin respuestas a sus correos electrónicos.

Quedan dos días cero para parchear (silenciosamente)

En total, Tokarev encontró cuatro días cero de iOS y los informó a Apple entre el 10 de marzo y el 4 de mayo. En septiembre, publicó un código de explotación (prueba de concepto) y detalles sobre todas las vulnerabilidades de iOS después de que la compañía no lo acreditara después de parchear  el día cero en julio.

Si los atacantes aprovecharan con éxito las cuatro vulnerabilidades en dispositivos iOS sin parchear (es decir, iPhones y iPads), podrían obtener acceso y recopilar correos electrónicos de ID de Apple, nombres completos, tokens de autenticación de ID de Apple, información de aplicaciones instaladas, información de WiFi y registros de análisis (incluidos información médica y de dispositivos).

La lista completa de días cero de iOS informados por Tokarev incluye:

    - Día 0 en juego (solucionado en iOS 15.0.2): error explotable a través de aplicaciones instaladas por el usuario desde App Store y dando acceso no autorizado a datos confidenciales normalmente protegidos por un mensaje de TCC o the platform sandbox de la plataforma ($ 100,000 en la página del Programa de recompensas de seguridad de Apple)

   -  Nehelper Enumerate Installed Apps 0-day (iOS 15.0): permite que cualquier aplicación instalada por el usuario determine si alguna aplicación está instalada en el dispositivo dado su ID de paquete.

   -  Nehelper Wifi Info 0-day (iOS 15.0): hace posible que cualquier aplicación que califique (por ejemplo, que posea autorización de acceso a la ubicación) obtenga acceso a la información de Wifi sin la autorización requerida.

   -  Analyticsd (corregido en iOS 14.7): permite que cualquier aplicación instalada por el usuario acceda a los registros de análisis.

"Vimos la publicación de su blog con respecto a este problema y sus otros informes. Nos disculpamos por la demora en responderle", dijo Apple a Tokarev 24 horas después de publicar los días cero y el código de explotación en su blog.

"Queremos informarle que todavía estamos investigando estos problemas y cómo podemos abordarlos para proteger a los clientes. Gracias nuevamente por tomarse el tiempo para informarnos sobre estos problemas. Agradecemos su ayuda".

Apple también ha corregido una segunda vulnerabilidad de día cero en iOS 15.0.2 y iPadOS 15.0.2, explotada activamente en la naturaleza para atacar iPhones y iPads.

Este error, registrado como CVE-2021-30883, es una falla crítica de corrupción de memoria en IOMobileFrameBuffer, que permite que aplicaciones maliciosas ejecuten comandos en dispositivos vulnerables con privilegios de kernel.

Apple no ha respondido a los correos electrónicos enviados desde el 24 de septiembre, solicitando una declaración oficial y más detalles.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta