2019 में, ऐप्पल जनता के लिए अपना सुरक्षा इनाम कार्यक्रम खोला , Apple के साथ महत्वपूर्ण iOS, iPadOS, macOS, tvOS, या watchOS सुरक्षा कमजोरियों को साझा करने वाले शोधकर्ताओं को मिलियन तक के भुगतान की पेशकश करता है, जिसमें उनका शोषण करने के लिए उपयोग की जाने वाली तकनीकें भी शामिल हैं। प्रोग्राम को Apple को अपने सॉफ़्टवेयर प्लेटफ़ॉर्म को यथासंभव सुरक्षित रखने में मदद करने के लिए डिज़ाइन किया गया है।
उस समय से, रिपोर्टें सामने आई हैं जो दर्शाती हैं कि कुछ सुरक्षा शोधकर्ता कार्यक्रम से नाखुश हैं , और अब एक सुरक्षा शोधकर्ता, जो छद्म नाम 'भ्रम' का उपयोग करता है, ने अपने समान 'निराशाजनक अनुभव' को साझा किया है।
आईफोन पर कॉल कैसे डिलीट करें
में एक ब्लॉग भेजा पर प्रकाश डाला द्वारा कोस्टा एलिफथेरियो , अज्ञात सुरक्षा शोधकर्ता ने कहा कि उन्होंने इस साल मार्च और मई के बीच ऐप्पल को चार शून्य-दिन कमजोरियों की सूचना दी, लेकिन उन्होंने कहा कि आईओएस 15 में तीन कमजोरियां अभी भी मौजूद हैं और आईओएस 14.7 में एक को ऐप्पल के बिना तय किया गया था। श्रेय।
मैं Apple सुरक्षा बाउंटी कार्यक्रम में भाग लेने के अपने निराशाजनक अनुभव को साझा करना चाहता हूं। मैंने इस साल 10 मार्च से 4 मई के बीच चार 0-दिन की कमजोरियों की सूचना दी है, क्योंकि उनमें से तीन अभी भी नवीनतम आईओएस संस्करण (15.0) में मौजूद हैं और एक 14.7 में तय की गई थी, लेकिन ऐप्पल ने इसे कवर करने का फैसला किया और इसे सुरक्षा सामग्री पृष्ठ पर सूचीबद्ध न करें। जब मैंने उनका सामना किया, तो उन्होंने माफी मांगी, मुझे आश्वासन दिया कि यह एक प्रसंस्करण समस्या के कारण हुआ है और अगले अपडेट के सुरक्षा सामग्री पृष्ठ पर इसे सूचीबद्ध करने का वादा किया है। तब से तीन रिलीज़ हुई और उन्होंने हर बार अपना वादा तोड़ा।
उस व्यक्ति ने कहा कि, पिछले हफ्ते, उन्होंने ऐप्पल को चेतावनी दी थी कि अगर उन्हें कोई प्रतिक्रिया नहीं मिली तो वे अपने शोध को सार्वजनिक कर देंगे। हालांकि, उन्होंने कहा कि ऐप्पल ने अनुरोध को नजरअंदाज कर दिया, जिससे उन्हें सार्वजनिक रूप से कमजोरियों का खुलासा करना पड़ा।
एप्पल टीवी पर सबटाइटल कैसे लगाएं
शून्य-दिन की कमजोरियों में से एक गेम सेंटर से संबंधित है और कथित तौर पर ऐप स्टोर से इंस्टॉल किए गए किसी भी ऐप को कुछ उपयोगकर्ता डेटा तक पहुंचने की अनुमति देता है:
- Apple ID ईमेल और इससे जुड़ा पूरा नाम
- ऐप्पल आईडी प्रमाणीकरण टोकन जो उपयोगकर्ता की ओर से *.apple.com पर कम से कम एक अंतिम बिंदु तक पहुंचने की अनुमति देता है
- कोर डुएट डेटाबेस तक पूर्ण फ़ाइल सिस्टम रीड एक्सेस (इसमें मेल, एसएमएस, iMessage, तृतीय-पक्ष मैसेजिंग ऐप और इन संपर्कों (टाइमस्टैम्प और आंकड़ों सहित) के साथ सभी उपयोगकर्ता की बातचीत के बारे में मेटाडेटा से संपर्कों की एक सूची शामिल है), कुछ अनुलग्नक (जैसे यूआरएल और टेक्स्ट)
- पूरा फाइल सिस्टम स्पीड डायल डेटाबेस और एड्रेस बुक डेटाबेस तक पहुंच को पढ़ता है जिसमें संपर्क चित्र और अन्य मेटाडेटा जैसे निर्माण और संशोधन तिथियां शामिल हैं (मैंने अभी आईओएस 15 पर जांच की है और यह पहुंच योग्य नहीं है, ताकि किसी को हाल ही में चुपचाप ठीक किया जाना चाहिए )
अन्य दो शून्य-दिन की कमजोरियाँ जो स्पष्ट रूप से अभी भी iOS 15 में मौजूद हैं, साथ ही साथ iOS 14.7 में पैच की गई, ब्लॉग पोस्ट में भी विस्तृत हैं।
सेब संगीत कैसे काम करता है?
Apple ने अभी तक ब्लॉग पोस्ट पर कोई टिप्पणी नहीं की है। अगर कंपनी जवाब देती है तो हम इस कहानी को अपडेट करेंगे।संबंधित राउंडअप: आईओएस 15 , आईपैड 15विशेष रूप से गेम सेंटर के शोषण को देखने के लिए क्लिक करें। यह खुरदरा है। एक कार्यशील सुरक्षा कार्यक्रम के साथ इस तरह की चीजें लगभग कभी भी दरार से नहीं फिसलनी चाहिए। इसके बजाय, Apple के साथ, यह सामान्य है। यह इतना गहरा टूट गया है, फिर भी कुछ भी नहीं बदलता है। इससे क्या होगा? - मार्को अर्मेंट (@marcoarment) 24 सितंबर, 2021
लोकप्रिय पोस्ट