苹果安全赏金计划玩不起？研究人员怒发其未修复漏洞的源代码

整理 | 祝涛

出品 | CSDN（ID：CSDNnews）

近日，一名安全研究人员公布了影响最新款iPhone的三个漏洞的细节，这些漏洞可能被恶意应用程序用来收集个人信息。

这位化名为Illusionofchaos的研究人员的真名是丹尼斯·托卡列夫(Denis Tokarev)，上周四他在自己的一篇博客文章中公布了相关细节，还公布了利用GitHub上这些漏洞进行攻击的源代码。

漏洞细节

他在博客中写到，他一共发现了四个漏洞，目前为止还有三个漏洞存在于最新的iOS 15。以下是他所公布的漏洞名称及其可能会泄露的数据。

1、Gamed 0-day (iOS 15.0)

通过这个漏洞可以允许访问用户以下数据：

• 苹果ID帐户的电子邮件， 苹果ID所有者的全名，以及授权认证，允许以苹果ID的名义向苹果服务器发送请求。
• 访问下面文件的内容:

  /var/mobile /Library/CoreDuet People/ interactionC.db

  ——包含邮件、短信和其他通讯APP（例如WhatsApp等）的联系人列表, 以及有关与这些联系人的借用的元数据，包括每次与每个联系人交互的统计信息和确切时间。

  /var/mobile/Library/Preferences/com.apple.mobilephone.speeddial.plist

  ——包含手机应用程序中的快速拨号联系人列表。

  /var/mobile/Library/AddressBook/AddressBook.sqlitedb

  ——包含一个完整的地址簿，上面有设备上所有的联系人。

  /var/mobile/Library/AddressBook/AddressBookImages.sqlitedb

  ——包含通讯录中的联系人照片。

2、Nehelper installed apps 0-day (iOS 15.0)

允许通过捆绑ID检查设备上是否安装了应用程序。

3、Nehelper wifi info 0-day (iOS 15.0)

一个轻微的漏洞，允许访问有关设备当前连接的 Wi-Fi 热点的信息。

4、Analyticsd（在 iOS 14.7 中修复）

允许访问设备上的分析数据，数据包括：

• 有关使用设备的信息（用户拿起设备的次数、推送通知的到达次数以及用户对它们的反应）
• 屏幕时间信息（用户在每个应用程序中花费的时间以及他们打开这些应用程序的次数）
• 医疗信息
• 来自"健康"应用的元数据
• 有关所有与设备（如 AirPod）相关的配件的信息
• 有关应用程序崩溃的信息，包括其捆绑 ID 和导致崩溃的异常代码
• 用户在Safari中查看的页面的语言

据其他分析过这些漏洞的研究人员说，这篇博客文章和源代码让其他安全研究人员以及恶意黑客有能力复制这些未修补的漏洞并加以利用。

令人不满的苹果安全赏金计划

此外，托卡列夫也在博客中透露了关于苹果漏洞赏金计划的一些细节，他在博客中写道， 参与苹果安全赏金计划是“一次令人沮丧的经历”。

“今年3月10日至5月4日，我报告了4个零日漏洞（编者注：“零日漏洞”(zero-day)又叫零时差攻击，是指被发现后立即被恶意利用的安全漏洞。通俗地讲，即安全补丁与瑕疵曝光的同一日内，相关的恶意程序就出现。这种攻击往往具有很大的突发性与破坏性），到目前为止，还有三个漏洞仍然出现在最新的iOS版本(15.0)，但是苹果决定掩盖它们,而不是将这些问题列在安全内容列表页面。当我质问他们时，他们向我道歉，并向我解释这是由于处理过程不当导致的问题，并承诺将其列在下次更新的安全内容页面上。从那以后，他们发布了三次安全内容列表页面，每次都食言。十天前，我要求苹果给我一个解释，并警告苹果说，如果我得不到一个合理的解释，我将公开我的发现。我的请求被忽略了，所以我决定公开这件事。”

托卡列夫称，在苹果安全赏金页面上，他所报告的漏洞的价值为100，000美元。（Broad app access to sensitive data normally protected by a TCC prompt or the platform sandbox）

苹果安全赏金官网：https://developer.apple.com/security-bounty/payouts/

从其安全赏金页面获知，在所有类别中所对应的漏洞，最低赏金额为 5，000 美元。但托卡列夫称，根据该计划参与者的反馈，苹果总是推迟付款，甚至在没有说明原因的情况下拒绝付款，或是支付的金额远远低于他们在网站上声称的金额。

此前，研究人员何塞·罗德里格斯(Jose Rodriguez) 追踪到了名为CVE-2021-1835和CVE-2021-30699锁屏漏洞，这两个安全漏洞使得攻击者可以在手机被锁定的情况下访问Twitter、WhatsApp等即时消息应用程序。苹果分别在今年4月和5月修补了这两个漏洞。

然而9月16日，罗德里格斯发文称，**苹果公司对这类问题的报告的估值高达2.5万美元，他报告的问题更为严重，却只被奖励了5000美元。**他在推文中写道：“希望苹果意识到，这是在安全漏洞赏金上的一种吝啬，并重新考虑奖金。”

来自Jose Rodriguez的推文

研究人员Wojciech Reguła称自己发现了另一个漏洞，通过更改NFSHomeDirectory变量，可以绕过用户的TCC限制。然而苹果表示，这个漏洞没有资格获得赏金。研究人员要求苹果重新裁决，但目前仍未裁定。

笔者认为，苹果安全赏金计划的初衷是值得肯定的，苹果公司与安全研究人员互惠共存——安全研究人员帮助苹果发现其安全问题，不断修复其漏洞，苹果给用户带来很安全的服务，也能赢得很好的口碑，而安全研究人员也能获得一笔酬劳，并给自己的职业生涯添上精彩一笔。这本来应该是一段很好的关系，然而苹果公司的安全赏金计划却接连引起安全研究人员的不满，苹果是时候反思一下这个问题，若安全研究人员对苹果越来越失望以至于不再检查其安全漏洞，对苹果公司以及苹果的用户都会造成巨大损失。

参考链接：

• https://habr.com/en/post/579716/
• https://habr.com/en/post/579714/