Специалист по кибербезопасности под псевдонимом illusionofchaos сообщил о трех уязвимостях в iOS для iPhone, доступных в том числе в последней версии операционной системы. Бреши в системе позволяют получать персональную информацию, например, контакты и фотографии людей из адресной книги. Человек, сообщивший об уязвимостях, публично выложил демонстрирующий их код: он заявил, что сделал это, так как Apple не исправила проблемы на протяжении шести месяцев.
«Apple была уведомлена обо всех описанных в статье уязвимостях в период с 10 марта по 4 мая, ответы о принятии в работу со стороны Apple приходили на следующий день после каждого уведомления… По состоянию на 24 сентября ответа я так и не получил, в связи с чем я публикую данную статью»,— сообщил illusionofchaos в своем блоге на Habr.
Первая уязвимость, работающая в iOS 15, позволяет получать доступ к адресу Apple ID, всем данным из адресной книги и времени взаимодействия с каждым из контактов. Две других уязвимости позволяют определять, установлено ли то или иное приложение на iPhone, и получать сведения о точке доступа Wi-Fi. Исследователь отметил, что еще одна уязвимость, связанная со сбором аналитики, была устранена в iOS 14.7, однако Apple не сообщила об этом ни в переписке, ни в описании к обновлению.
iOS 15 вышла 20 сентября вместе с новыми системами для iPad и Apple Watch. За несколько дней до выхода новой версии компания выпустила обновление для старой, чтобы закрыть уязвимость, использующуюся шпионским программным обеспечением Pegasus. Вчера Apple распространила аналогичное обновление для старых устройств, в частности, iPhone 5S и 6.