研究人員稱蘋果忽略了iOS15中仍然存在的三個零日安全漏洞-魔扣目錄

（ChinaZ.com）9月26日消息:2019年，蘋果向公眾開放了其安全賞金計劃，向與蘋果共享關(guān)鍵iOS、iPadOS、macOS、tvOS 或 watchOS 安全漏洞的研究人員提供高達100萬美元的獎金，包括用于利用它們的技術(shù)。該計劃旨在幫助蘋果盡可能保證其軟件平臺的安全。

蘋果應(yīng)用商店、手機APP

從那以后，有報道表明一些安全研究人員對該計劃不滿意，現(xiàn)在一位使用化名“illusionofchaos”的安全研究人員分享了他們“令人沮喪的經(jīng)歷”。

在Kosta Eleftheriou強調(diào)的博客文章中，這位不愿透露姓名的安全研究人員表示，他們在今年3月至5月期間向蘋果報告了四個零日漏洞，但他們表示，其中三個漏洞仍然存在于iOS15中，一個已修復(fù)在 iOS14.7中，沒有蘋果給予他們?nèi)魏涡湃巍?/p>

該人士表示，上周，他們警告蘋果，如果沒有得到回應(yīng)，他們將公開他們的研究。然而，他們表示蘋果公司忽略了這一要求，導(dǎo)致他們公開披露了這些漏洞。

其中一個零日漏洞與 Game Center 相關(guān)，據(jù)稱允許從App Store安裝的任何應(yīng)用程序訪問一些用戶數(shù)據(jù):

- Apple ID 電子郵件和與之關(guān)聯(lián)的全名

- Apple ID 身份驗證令牌，允許代表用戶訪問 *.apple.com 上的至少一個端點

- 完整的文件系統(tǒng)讀取訪問 Core Duet 數(shù)據(jù)庫（包含來自郵件、短信、iMessage、第3方消息傳遞應(yīng)用程序的聯(lián)系人列表以及有關(guān)所有用戶與這些聯(lián)系人交互的元數(shù)據(jù)(包括時間戳和統(tǒng)計數(shù)據(jù)），以及一些附件(如URL 和文本)

- 對快速撥號數(shù)據(jù)庫和地址簿數(shù)據(jù)庫的完整文件系統(tǒng)讀取訪問權(quán)限，包括聯(lián)系人圖片和其他元數(shù)據(jù)，如創(chuàng)建和修改日期（目前這個無法訪問，所以最近肯定已經(jīng)悄悄修復(fù)了）

博客文章中還詳細介紹了 iOS15中顯然仍然存在的另外兩個零日漏洞，以及 iOS14.7中修補的漏洞。