Pull to refresh
  • by relevance
  • by date
  • by rating

Disclosure of three 0-day iOS vulnerabilities and critique of Apple Security Bounty program

Information Security *Development for iOS *Development of mobile applications *Reverse engineering *

I want to share my frustrating experience participating in Apple Security Bounty program. I've reported four 0-day vulnerabilities this year between March 10 and May 4, as of now three of them are still present in the latest iOS version (15.0) and one was fixed in 14.7, but Apple decided to cover it up and not list it on the security content page. When I confronted them, they apologized, assured me it happened due to a processing issue and promised to list it on the security content page of the next update. There were three releases since then and they broke their promise each time.

Read more to learn the specifics of 0-day vulnerabilities.

Read more
Total votes 11: ↑11 and ↓0 +11
Views 89
Comments 0

Статья, в которой я раскрываю три 0-day уязвимости в iOS и критикую bug bounty программу Apple

Information Security *Development for iOS *Development of mobile applications *Reverse engineering *

Все уязвимости имеют класс Information Disclosure, а именно получение чувствительной информации приложениями из App Store без запроса разрешений у пользователя, либо обход sandbox и получение такой информации, к которой у приложений в принципе не должно быть доступа. Я загрузил на GitHub код приложений, который я отправлял в Apple для демонстрации уязвимостей, его можно запустить на своих устройствах и посмотреть, приложения только получают данные и отображают их в UI.

Кому интересно почитать подробнее про данные уязвимости, а также про Apple Security Bounty Program, добро пожаловать под кат.

Читать далее
Total votes 49: ↑49 and ↓0 +49
Views 812
Comments 8

Google опубликовала исходный код Chrome для iOS

Open source *Development for iOS *Google Chrome
image

Компания Google опубликовала исходный код своего браузера Google Chrome для iOS, сообщается в официальном блоге Chromium.

«Исторически сложилось, что код Google Chrome для iOS был отделен от остальной части проекта Chromium из-за дополнительной сложности в реализации платформы. После нескольких лет тщательного рефакторинга, весь код был воссоединен с проектом Chrome и перемещен в Open source-репозиторий», — говорится в блоге.
Читать дальше →
Total votes 19: ↑18 and ↓1 +17
Views 10K
Comments 2

Энтузиаст портировал Doom 3 и другие игры id Software на iOS, но так просто их не запустить

Development for iOS *Game development *Games and game consoles
В 2009 году id Software выпустила Wolfenstein 3D и Doom на iOS, когда операционная система была 32 битной. Сейчас она 64 битная и начиная с версии iOS 10.3, которая вышла в 2017 году, 32 битные приложения не поддерживаются. Поскольку id Software давно перестала обновлять мобильные релизы, на новых девайсах игры уже не запустить. Но мобильный разработчик Том Кидд решил это исправить. А после портировал на платформу и другие шутеры компании.

Тем не менее, купить их в App Store и просто так поиграть не получится.
Total votes 27: ↑25 and ↓2 +23
Views 9.8K
Comments 2

Разработана свободная альтернатива Apple AirDrop

Information Security *Open source *Development for iOS *Software


Apple Wireless Direct Link (AWDL) — ключевой протокол в экосистеме Apple, его использует более миллиарда устройств iOS и macOS для связи между собой. Это запатентованное расширение стандарта IEEE 802.11 (Wi-Fi), которое интегрируется с Bluetooth Low Energy (BLE) и обеспечивает работу таких сервисов, как Apple AirDrop (технология передачи файлов по Wi-Fi и Bluetooth).

14 августа 2019 года на конференции USENIX Security 2019 раскрыт ряд серьёзных уязвимостей в этом протоколе, которые допускают атаки MiTM с незаметным изменением передаваемых файлов, атаки типа «отказ в обслуживании» с прерыванием связи, а также утечки конфиденциальных данных, которые подрывают рандомизацию MAC-адресов, позволяя идентифицировать пользователей и осуществлять долгосрочное отслеживание (см. ниже).

В связи с этим немецкие разработчики Милан Стют и Александр Хейнрих разработали OpenDrop — свободную и более безопасную альтернативу проприетарной технологии от Apple.
Total votes 11: ↑11 and ↓0 +11
Views 4.7K
Comments 0

Хакер выпустил первый публичный джейлбрейк для устройств Apple на iOS 11 и 12

Information Security *Development for iOS *Smartphones


Apple по ошибке упростила процесс взлома iPhone, вернув уязвимость, которую она уже исправила. Хакеры быстро воспользовались этим и выпустили джейлбрейк для iOS — первый бесплатный публичный джейлбрейк для iPhone за последние годы.

Специалисты по безопасности выяснили, что обновление для iOS 12.4 вернуло ошибку, обнаруженную ранее Недом Уильямсоном из Google Project Zero и исправленную ​​в iOS 12.3. Почти сразу был опубликован джейлбрейк для iOS 12.4.

Разработчик утилиты для взлома под ником Pwn20wnd заявляет, что программа успешно использует уязвимость SockPuppet на iOS 12.4 и может разблокировать устройство, что позволяет устанавливать и запускать любое стороннее программное обеспечение.
Читать дальше →
Total votes 12: ↑10 and ↓2 +8
Views 13K
Comments 15

Уязвимостей в iOS стало так много, что они стали дешевле «дыр» в Android

Information Security *Development for iOS *Development for Android *Mobile applications testing *IT-companies


Фирма Zerodium специализируется на покупке и перепродаже уязвимостей нулевого дня.
На днях площадка обновила свой прайс-лист как раз в дату официального релиза Android 10. Произошло любопытное изменение: на рынке перепродажи эксплойтов теперь больше ценятся «дыры» в Android, а не iOS, это случилось впервые в истории IT и ИБ. Основатель площадки объясняет это тем, что последних в последнее время стало слишком много.
Читать дальше →
Total votes 19: ↑17 and ↓2 +15
Views 13K
Comments 23

Все сегодняшние анонсы Apple (+ мнения двух iOS-разработчиков)

JUG Ru Group corporate blog Development for iOS *Development of mobile applications *

Кадр из приветственного видео на конференции

Сентябрьская презентация Apple ассоциируется у многих только с анонсом айфона, но были и другие новинки — пройдёмся кратко по всем.
Читать дальше →
Total votes 26: ↑22 and ↓4 +18
Views 7.8K
Comments 17

Райффайзенбанк открывает набор в первую Школу мобильной разработки

Райффайзенбанк corporate blog Development of mobile applications *Swift *Studying in IT IT career


Стажёры Raiffeisen Mobile Dev School пройдут путь от знакомства с инструментами и утилитами до детализации визуальных элементов приложений и создадут продукт для более чем 100 тысяч пользователей.
Читать дальше →
Total votes 12: ↑12 and ↓0 +12
Views 8.3K
Comments 10

iOS 13.1 добавила в линейку iPhone 2018 года замедление процессора по мере износа аккумулятора

High performance *Computer hardware Smartphones


Корпорация Apple одной из первых добавила в ОС для своих мобильных устройств функцию, которую в сети прозвали «запланированное устаревание смартфонов». Речь идет о том, что скорость работы устройства замедляется по мере износа батареи гаджета. В прошлом году Apple и Samsung даже были оштрафованы из-за этого нововведения, на 10 млн и 5 млн евро соответственно.

Обе компании признали факт существования этой функции, после чего получили большое количество судебных исков от покупателей гаджетов, которые посчитали себя обманутыми. Сейчас Apple добавила троттлинг для всей линейки своих телефонов 2018 года. Активировалась функция после выхода iOS 13.1. Теперь чем сильнее будет изнашиваться батарея, тем медленнее будут работать сами устройства.
Читать дальше →
Total votes 25: ↑13 and ↓12 +1
Views 14K
Comments 53

WhatsApp перестанет работать на устаревших смартфонах с 1 февраля 2020 года

Software
image

Администрация WhatsApp предупредила пользователей, что мессенджер перестанет работать на устройствах с устаревшими операционными системами с 1 февраля 2020 года.

Ограничения коснутся операционных систем Android 2.3.7 и iOS 8. С 1 февраля их пользователи не смогут завести новый аккаунт в WhatsApp или подтвердить уже существующий. iPhone 4s, который был выпущен в октябре 2011 года, способен обновиться до iOS версии 9.3.6. Таким образом, с трудностями могут столкнуться владельцы iPhone 4 и более младших моделей. В числе смартфонов на Android под удар попадут Nexus One, а также некоторые модели НТС (Desire) и Motorola (Milestone).

Кроме того, с 31 декабря 2019 года прекратится поддержка мессенджера в ОС Windows Phone.
Читать дальше →
Total votes 12: ↑12 and ↓0 +12
Views 6.7K
Comments 19

Lightning дата-кабель с аппаратным бэкдором вскоре поступит в продажу по $200

Information Security *Computer hardware Smartphones


На прошлой неделе эксперт по сетевой безопасности Майкл Гровер заявил, что вскоре широкое распространение получат внешне нормальные дата-кабели для мобильных устройств под управлением iOS, которые на самом деле представляют собой инструмент для удаленного управления ПК, к которым подключены.

Эксперты разработали подобный девайс несколько месяцев назад, а сейчас запустили фабричное производство. «Он (кабель) выглядит вполне обычно, работает тоже как нужно. Даже ПК не определит разницу между этим и оригинальным кабелем, никаких изменений в диспетчере устройств не будет. Но все же это хакерский девайс, который позволяет перехватывать управление устройством», — сообщил один из исследователей по информационной безопасности.
Total votes 13: ↑12 and ↓1 +11
Views 12K
Comments 26

CocoaHeads meetup в Mail.ru Group: 30 октября

Mail.ru Group corporate blog Development for iOS *Development of mobile applications *


30 октября в московском офисе Mail.ru Group состоится очередная встреча сообщества CocoaHeads. Приглашаем на митап заинтересованных iOS- и OSX-разработчиков. В программе — 3 доклада, традиционная викторина и, конечно, неформальное общение.

Описание докладов, ссылка на регистрацию и все детали по митапу под катом. Регистрируйтесь сами и приглашайте коллег!
Читать дальше →
Total votes 18: ↑17 and ↓1 +16
Views 603
Comments 0

Создатель «безупречных» копий iOS подал ответный иск к Apple на $300 тысяч

Development for iOS *Legislation in IT Software IT-companies
image

Стартап Corellium обратился с иском против Apple на 300 тысяч долларов. Компания создает «безупречные» виртуальные копии операционной системы iOS. Apple ранее обвинила стартап в нарушении авторских прав.

Стартап основала пара из Флориды — Аманда Гортон и Крис Уэйд. В августе этого года они получили иск от корпорации. IT-гигант обвинил супругов в незаконном копировании iPhone.
Читать дальше →
Total votes 14: ↑13 and ↓1 +12
Views 15K
Comments 7

FunCode iOS Challenge

FUNCORP corporate blog Development for iOS *Development of mobile applications *Objective C *Swift *


FunCorp проводит конкурс мобильной разработки с призовым фондом в 550 000р для тех, кто хорошо себя вел в этом году делает крутые приложения.

Принять участие может любой желающий. Авторы лучших работ получат денежные призы и подарки от FunCorp, а также возможность присоединиться к нашей команде. 
Читать дальше →
Total votes 25: ↑25 and ↓0 +25
Views 1.5K
Comments 1

Microsoft в январе закроет приложение Cortana для Android и iOS

Development for iOS *Development for Android *Smartphones IT-companies Voice user interfaces
image

Microsoft решила закрыть приложение Cortana для устройств на Android и iOS. В январе 2020 года оно перестанет работать на рынках Великобритании, Канады и Австралии.

«Чтобы сделать голосового помощника максимально полезным, мы интегрируем Cortana в приложения офисного пакета Microsoft 365, что сделает их более производительными. В рамках этого 31 января 2020 года мы прекращаем поддержку приложения Cortana для Android и iOS на вашем рынке. На этом этапе созданный вами контент Cortana, например напоминания и списки, больше не будет работать в мобильном приложении Cortana или в Microsoft Launcher, но к нему по-прежнему можно будет получить доступ через Cortana в Windows. Кроме того, напоминания, списки и задачи Cortana автоматически синхронизируются с приложением Microsoft To Do, которое можно бесплатно загрузить на телефон», — сообщается на британском сайте технической поддержки Microsoft. Cortana также исчезнет из приложения Microsoft Launcher.
Читать дальше →
Total votes 14: ↑14 and ↓0 +14
Views 9.4K
Comments 9

Ученые выявили связь между использованием мобильных приложений и наличием когнитивных расстройств

Development for iOS *Popular science Health
imageФото: Patrick Milan/Flickr

Исследователи из Apple и Тюбингенского университета проанализировали привычки в использовании приложений для iOS. С помощью технологии машинного обучения они смогли выявить различия в этих привычках между пользователями с когнитивными нарушениями и без таковых.

Alzheimer's Association установила, что легкое когнитивное нарушение, которое поражает от 15 до 20% людей старше 65 лет, часто прогрессирует быстро и незаметно. Однако те, у кого есть подобное расстройство, сталкиваются с повышенным риском развития деменции. Поэтому, по словам ученых, важно обнаруживать когнитивные нарушения на ранних стадиях.
Читать дальше →
Total votes 15: ↑14 and ↓1 +13
Views 9.6K
Comments 20

Apple будет разрабатывать софт по-новому из-за жалоб на iOS 13

Development for iOS *Development of mobile applications *Mobile App Analytics *Gadgets IT-companies


Apple начнёт разрабатывать и тестировать свои операционные системы по-новому. Изменения связаны с критикой iOS 13. Как пишет Bloomberg со ссылкой на собственные источники в компании, это связано с тем, что разные функции системы разрабатываются разными командами девелоперов. При этом их действия не всегда скоординированы, и функции внедряются в тестовые сборки независимо друг от друга, из-за чего сборки нередко оказываются перегруженными, а работа новых функций — нестабильной. Кроме того, разные функции могли конфликтовать друг с другом.

В соответствии с новым подходом, в тестовых сборках будущих операционных систем Apple проблемные или недоработанные функции будут по умолчанию отключены. У разработчиков также появится возможность отключать все функции, введённые в определённый промежуток времени, чтобы они могли сосредоточиться на написании своих программ, не отвлекаясь на сторонние.
Читать дальше →
Total votes 19: ↑16 and ↓3 +13
Views 13K
Comments 13

Родительский контроль в iPhone легко обойти из-за бага. Apple обещает выпустить патч

Development for iOS *Gadgets Smartphones


В прошлый вторник Apple выпустила iOS 13.3 с новой функцией Communication Limits, которая должна дать родителям больше возможности контролировать детей, когда те используют iPhone или iPad. Функцию проверили сотрудники CNBC и обнаружили, что она не работает так, как должна.
Читать дальше →
Total votes 9: ↑8 and ↓1 +7
Views 3.2K
Comments 0

Apple подала новый иск к создателю «безупречных» копий iOS Corellium. Корпорация борется с джейлбрейком

Development for iOS *Legislation in IT IT-companies
image

Apple расширила судебный процесс против стартапа Corellium, разработавший программное обеспечение, с помощью которого можно создать виртуальную копию iOS. В новом иске корпорация утверждает, что действия стартапа обеспечивают джейлбрейк и нарушают запрет Закона о защите авторских прав в цифровую эпоху (DMCA) на обход систем защиты авторских прав.

В первой версии судебного иска Apple обвинила Corellium в нарушении авторских прав. В иске от 27 декабря говорится как о нарушении авторских прав, так и о «незаконном обороте продукта, используемого для обхода мер безопасности».
Читать дальше →
Total votes 13: ↑7 and ↓6 +1
Views 7.7K
Comments 4