Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

Disclosure of three 0-day iOS vulnerabilities and critique of Apple Security Bounty program

Информационная безопасность *Разработка под iOS *Разработка мобильных приложений *Реверс-инжиниринг *
Перевод

I want to share my frustrating experience participating in Apple Security Bounty program. I've reported four 0-day vulnerabilities this year between March 10 and May 4, as of now three of them are still present in the latest iOS version (15.0) and one was fixed in 14.7, but Apple decided to cover it up and not list it on the security content page. When I confronted them, they apologized, assured me it happened due to a processing issue and promised to list it on the security content page of the next update. There were three releases since then and they broke their promise each time.

Read more to learn the specifics of 0-day vulnerabilities.

Read more
Всего голосов 46: ↑46 и ↓0 +46
Просмотры 97K
Комментарии 7

Статья, в которой я раскрываю три 0-day уязвимости в iOS и критикую bug bounty программу Apple

Информационная безопасность *Разработка под iOS *Разработка мобильных приложений *Реверс-инжиниринг *

Все уязвимости имеют класс Information Disclosure, а именно получение чувствительной информации приложениями из App Store без запроса разрешений у пользователя, либо обход sandbox и получение такой информации, к которой у приложений в принципе не должно быть доступа. Я загрузил на GitHub код приложений, который я отправлял в Apple для демонстрации уязвимостей, его можно запустить на своих устройствах и посмотреть, приложения только получают данные и отображают их в UI.

Кому интересно почитать подробнее про данные уязвимости, а также про Apple Security Bounty Program, добро пожаловать под кат.

Читать далее
Всего голосов 183: ↑183 и ↓0 +183
Просмотры 24K
Комментарии 39

Apple пойдет на уступки сторонникам «права на ремонт»

Компьютерное железо


Корпорация Apple много лет пытается доказать пользователям, что ремонтировать свои устройства может лишь она сама, а не сторонние сервисные центры. При этом стоимость работ по ремонту, выполняемых корпорацией, нельзя назвать небольшой. В некоторых случаях компания предпочитает заменить половину гаджета вместо вышедшего из строя шлейфа, взяв соответствующую оплату.

Но насколько можно понять, корпорация постепенно меняет свою политику. Так, она готова разрешить сторонним сервисным центрам оказывать услуги по ремонту своих устройств. Apple будет предоставлять таким центрам сертифицированные комплектующие, о чем сообщает Fast Company.
Читать дальше →
Всего голосов 29: ↑27 и ↓2 +25
Просмотры 4.7K
Комментарии 15

iPhone следующего поколения будет иметь 3 тыловых камеры

Смартфоны


Корпорация Apple в этом году планирует представить новое поколение своих смартфонов — iPhone XI. Техническая документация уже передана компаниям, которые занимаются производством и сборкой телефонов, для того, чтобы те могли начать создание производственных линий.

Эта документация недавно появилась в сети, скорее всего, источник утечки — компания Foxconn. Что касается фронтальной части телефона, то изображения ее элементов отсутствуют. Зато во множестве присутствуют изображения задней части смартфона.
Читать дальше →
Всего голосов 5: ↑4 и ↓1 +3
Просмотры 950
Комментарии 3

Apple увеличила выплату по bug bounty до миллиона долларов

Информационная безопасность *Разработка под iOS *Гаджеты Смартфоны IT-компании


Apple приняла решение о расширении программы bug bounty. Сейчас специалисты будут получать вознаграждение не только за нахождение уязвимостей в iPhone, но и в Mac и MacBook, а также в Apple TV и Apple Watch. Максимальная сумма вознаграждения достигнет миллиона долларов. На сегодня это самая высокая цена за нахождение багов на рынке.

Идея программы проста: вы находите уязвимость, информируете о ней Apple, компания исправляет уязвимость, а вы взамен получаете денежную выплату. Эти программы чрезвычайно популярны в технической индустрии, так как помогают финансировать исследователей в области безопасности в обмен на выявление серьезных недостатков ПО, которые в противном случае могли бы использоваться злоумышленниками.
Читать дальше →
Всего голосов 12: ↑10 и ↓2 +8
Просмотры 5K
Комментарии 0

Хакер выпустил первый публичный джейлбрейк для устройств Apple на iOS 11 и 12

Информационная безопасность *Разработка под iOS *Смартфоны


Apple по ошибке упростила процесс взлома iPhone, вернув уязвимость, которую она уже исправила. Хакеры быстро воспользовались этим и выпустили джейлбрейк для iOS — первый бесплатный публичный джейлбрейк для iPhone за последние годы.

Специалисты по безопасности выяснили, что обновление для iOS 12.4 вернуло ошибку, обнаруженную ранее Недом Уильямсоном из Google Project Zero и исправленную ​​в iOS 12.3. Почти сразу был опубликован джейлбрейк для iOS 12.4.

Разработчик утилиты для взлома под ником Pwn20wnd заявляет, что программа успешно использует уязвимость SockPuppet на iOS 12.4 и может разблокировать устройство, что позволяет устанавливать и запускать любое стороннее программное обеспечение.
Читать дальше →
Всего голосов 12: ↑10 и ↓2 +8
Просмотры 13K
Комментарии 15

Смартфоны Apple с iOS от 10 до 12 версии два года были уязвимы для атак после посещения сайтов со зловредами

Информационная безопасность *Гаджеты Смартфоны IT-компании
Множество смартфонов Apple с установленными операционными системами iOS от 10 до 12 версии почти два года были уязвимы для атак через разные специально зараженные интернет-сайты. Об этой критической ситуации сообщили исследователи из подразделения кибербезопасности Google Project Zero в своей публикации.
Читать дальше →
Всего голосов 17: ↑17 и ↓0 +17
Просмотры 3.5K
Комментарии 0

iOS 13.1 добавила в линейку iPhone 2018 года замедление процессора по мере износа аккумулятора

Высокая производительность *Компьютерное железо Смартфоны


Корпорация Apple одной из первых добавила в ОС для своих мобильных устройств функцию, которую в сети прозвали «запланированное устаревание смартфонов». Речь идет о том, что скорость работы устройства замедляется по мере износа батареи гаджета. В прошлом году Apple и Samsung даже были оштрафованы из-за этого нововведения, на 10 млн и 5 млн евро соответственно.

Обе компании признали факт существования этой функции, после чего получили большое количество судебных исков от покупателей гаджетов, которые посчитали себя обманутыми. Сейчас Apple добавила троттлинг для всей линейки своих телефонов 2018 года. Активировалась функция после выхода iOS 13.1. Теперь чем сильнее будет изнашиваться батарея, тем медленнее будут работать сами устройства.
Читать дальше →
Всего голосов 25: ↑13 и ↓12 +1
Просмотры 14K
Комментарии 53

СМИ: в России закончились iPhone 11 Pro, iPhone 11 Pro Max и iPhone 11 зеленого и фиолетового цветов

Гаджеты Смартфоны
image

«Коммерсантъ» со ссылкой на источники в отрасли сообщил, что Apple распродала в России все iPhone 11 Pro, iPhone 11 Pro Max и iPhone 11 зеленого и фиолетового цветов. Теперь доставка смартфонов из официального интернет-магазина займет от двух до четырех недель.

Отмечается, что дефицитными оказались iPhone с наибольшим объемом памяти, а вот большого спроса на другие модели из новой линейки не наблюдается.

По словам собеседника, следующую партию новых iPhone 11 Pro и Pro Max поставят в октябре.
Читать дальше →
Всего голосов 60: ↑23 и ↓37 -14
Просмотры 6.8K
Комментарии 13

«Это был баг»: Google лишит пользователей iPhone безлимитного хранилища в Google Photos без сжатия

Разработка под iOS *Разработка под Android *Смартфоны IT-компании
image

В Google заявили, что пользователи iPhone благодаря багу получили бесплатную опцию, которая ранее была доступна только владельцам смартфонов Pixel. Речь идет о неограниченном хранилище в Google Photos для фотографий в оригинальном качестве без сжатия.

Наличие бага вскрылось после презентации Pixel 4, в которой не анонсировали данную функцию. На следующий день на Reddit заявили, что новые iPhone получат функцию неограниченного резервного копирования фото исходного качества.
Читать дальше →
Всего голосов 15: ↑14 и ↓1 +13
Просмотры 8.2K
Комментарии 3

Создатель «безупречных» копий iOS подал ответный иск к Apple на $300 тысяч

Разработка под iOS *Законодательство в IT Софт IT-компании
image

Стартап Corellium обратился с иском против Apple на 300 тысяч долларов. Компания создает «безупречные» виртуальные копии операционной системы iOS. Apple ранее обвинила стартап в нарушении авторских прав.

Стартап основала пара из Флориды — Аманда Гортон и Крис Уэйд. В августе этого года они получили иск от корпорации. IT-гигант обвинил супругов в незаконном копировании iPhone.
Читать дальше →
Всего голосов 14: ↑13 и ↓1 +12
Просмотры 15K
Комментарии 7

Приложение Facebook следит за владельцами iPhone через камеру

Информационная безопасность *Разработка под iOS *Разработка мобильных приложений *Смартфоны IT-компании

Пользователь мобильного приложения Facebook Джошуа Мэддукс (Joshua Maddux) обнаружил на своем iPhone, что социальная сеть может втайне подсматривать через камеру смартфона за действиями пользователя, пока тот листает новостную ленту и работает с мобильным приложением. Джошуа предоставил видеодоказательство своей находки в твиттере.
Всего голосов 29: ↑26 и ↓3 +23
Просмотры 22K
Комментарии 72

Apple может выпустить шлем дополненной реальности в 2022 году, а смарт-очки — в 2023-м

Разработка под AR и VR *Гаджеты AR и VR IT-компании
imageФото: Vujàdé/Flickr

По данным журналистов, Apple может выпустить шлем дополненной реальности уже в 2022 году. Выхода смарт-очков дополненной реальности можно ожидать в 2023 году, утверждают они. Журналисты ссылаются на материалы закрытой встречи, которая прошла в октябре у вице-президент Apple Майка Роквелла.

Он возглавляет команду Apple по разработке AR- и VR-устройств. На встрече Роквелл провел презентацию, посвященную конструкции и особенностям гарнитуры дополненной реальности. На совещании присутствовали топ-менеджеры компании. Всех его участников попросили заблокировать камеры смартфонов.

AR-гарнитура известна в Apple под кодовым названием N301. Внешне она напоминает более тонкую версию шлема виртуальной реальности (VR) Oculus Quest. N301 сочетает возможности дополненной и виртуальной реальностей и использует внешние камеры, чтобы отображать окружение пользователя. Дисплей с высоким разрешением позволяет смешивать виртуальные объекты с реальностью.
Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 2.3K
Комментарии 1

Родительский контроль в iPhone легко обойти из-за бага. Apple обещает выпустить патч

Разработка под iOS *Гаджеты Смартфоны


В прошлый вторник Apple выпустила iOS 13.3 с новой функцией Communication Limits, которая должна дать родителям больше возможности контролировать детей, когда те используют iPhone или iPad. Функцию проверили сотрудники CNBC и обнаружили, что она не работает так, как должна.
Читать дальше →
Всего голосов 9: ↑8 и ↓1 +7
Просмотры 3.2K
Комментарии 0

Генпрокурор США обвинил Apple в отказе помочь ФБР разблокировать iPhone убийцы. Apple не согласна

Информационная безопасность *Гаджеты Смартфоны IT-компании


Генеральный прокурор США Уильям Барр объявил о завершении расследования стрельбы, которая произошла в декабре 2019 года на военно-морской базе в городе Пенсакола во Флориде. В своём заключении он обратил внимание на то, что в ходе расследования специалисты ФБР не смогли разблокировать iPhone стрелка, и упрекнул компанию Apple в отказе от сотрудничества.
Читать дальше →
Всего голосов 13: ↑13 и ↓0 +13
Просмотры 6.3K
Комментарии 0

Apple отказалась от планов внедрять сквозное шифрование в iCloud

Информационная безопасность *Хранение данных *Облачные сервисы Смартфоны IT-компании


Компания Apple отказалась от планов по внедрению сквозного шифрования в резервные копии в iCloud после того, как ФБР высказало опасения, что этот шаг может повредить расследованиям. Об этом сообщает агентство Reuters.
Читать дальше →
Всего голосов 20: ↑18 и ↓2 +16
Просмотры 9.8K
Комментарии 77

Apple не согласна внедрить единый стандарт зарядки по предложению Евросоюза

Законодательство в IT Гаджеты Смартфоны Экология IT-компании


Компания Apple прокомментировала призыв законодателей Евросоюза ввести единый стандарт для зарядных устройств мобильных телефонов. В корпорации считают, что такой шаг «навредит инновациям и потребителям».
Читать дальше →
Всего голосов 48: ↑39 и ↓9 +30
Просмотры 30K
Комментарии 187

Apple и Johnson & Johnson будут собирать данные, чтобы Apple Watch научились диагностировать инсульт

Биотехнологии
image

Американская компания Johnson & Johnson объявила о запуске проекта Heartline, в рамках которого в сотрудничестве с Apple будут собираться данные о здоровье людей старше 65 лет. Для этого нужно установить приложение Heartline Study на iPhone — исследование призвано оценить, смогут ли уведомления о нерегулярном сердечном ритме снизить количество инсультов у пожилых людей.
Читать дальше →
Всего голосов 8: ↑8 и ↓0 +8
Просмотры 1.6K
Комментарии 7

Голливудский режиссер рассказал о запрете Apple снимать злодеев с iPhone

Гаджеты Смартфоны IT-компании
image

Режиссер Райан Джонсон в своем интервью Vanity Fair рассказал, что корпорация Apple запрещает использовать при съемках голливудских фильмов iPhone в качестве атрибута отрицательного персонажа.
Всего голосов 33: ↑23 и ↓10 +13
Просмотры 17K
Комментарии 42

Apple согласилась выплатить до $500 млн за замедление старых iPhone, но не признаёт нарушения

Законодательство в IT Гаджеты Смартфоны
image

Компания Apple согласилась выплатить в качестве компенсации до $500 миллионов владельцам старых iPhone, чьи устройства стали работать медленнее после обновления iOS в 2017 году, пишет Reuters. Отмечается, что Apple отрицает нарушения со своей стороны, но таким образом планирует избежать судебных разбирательств.
Читать дальше →
Всего голосов 13: ↑12 и ↓1 +11
Просмотры 5.9K
Комментарии 31