На этой неделе компания Apple выпустила iOS 15, и в тот же день ИБ-эксперт Хосе Родригес (Jose Rodriguez) продемонстрировал обход экрана блокировки на iPhone, при помощи которого можно получить доступ к заметкам пользователя.
Исследователь признается, что не случайно раскрыл баг именно в этот день. Таким образом Родригес отомстил Apple за то, что ранее в 2021 году компания преуменьшила значимость аналогичных проблем обхода блокировки экрана, о которых он сообщил. Речь идет об уязвимостях CVE-2021-1835 и CVE-2021-30699, которые Apple исправила апреле и мае этого года.
«Apple оценивает сообщения о подобных проблемах в 25 000 долларов, но за сообщение о более серьезной проблеме я был вознагражден 5000 долларов», — пишет исследователь у себя в Twitter.
In hopes Apple realizes that is being tightwad rewarding security bug reports, and reconsider the bounties. https://t.co/g6TEIWmVDJ
— Jose Rodriguez (@VBarraquito) September 15, 2021
Две вышеупомянутые уязвимости позволяли злоумышленникам получать доступ мессенджерам и другим приложениям жертвы, включая Twitter, WhatsApp и Telegram, даже если устройство заблокировано. Родригес объясняет, что Apple смягчила эти баги, но не исправила их до конца, а также не поинтересовалась у исследователя, корректно ли работают патчи.
В итоге Родригес опубликовал новый вариант обхода экрана блокировки (работающий из-за того, что две предыдущие ошибки не были исправлены до конца). На этот раз он использовал Apple Siri и VoiceOver для доступа к приложению Notes. Атаку можно увидеть ниже.
Нужно сказать, что не только Родригес недоволен тем, как Apple относится к своей программе bug bounty и общается с ИБ-экспертами. Ранее в этом месяце издание Washington Post посвятило этой проблеме большую статью, в которой многие ИБ-специалисты рассказывали об аналогичных проблемах и утверждали, что компания оставляла их багрепорты без внимания месяцами, выпускала неэффективные патчи, занижала размеры вознаграждений и запрещала исследователям участвовать в bug bounty далее, если те начинали жаловаться.
