据Securityaffairs 9月24日消息, GitHub 上面公布了三个 iOS 用代码验证零日漏洞和缺陷概念。
研究人员声称,专家们在10日至5月4日,专家们发现了这四个零日漏洞,并向苹果公司报告。但苹果只在7月份解决了问题IOS 14.7版本中的一个漏洞并不归功于研究人员。
剩下的三个漏洞是最新的IOS 15.0这个版本仍然存在。他曾与苹果沟通,苹果承诺在下一个版本更新中添加到安全内容页面,但苹果并没有每次都兑现。
研究人员发现零日 PoC 上传到源代码GitHub 存储库列表中的这些存储库也与苹果共享。专家解释说,每个存储库都包含一个收集敏感信息并呈现给 的应用程序UI 中。
这些漏洞包括:
- 游戏零日
- Nehelper 枚举已安装的应用程序零日
- Nehelper Wifi 信息零日
- Analyticsd(在 iOS 14.7 中修复)
研究人员解释说, iOS 14.7 中解决的 Analyticsd分析日志包括:
- 医疗信息(计数心率、检测到的房颤和心律失常)
- 月经周期长度、生理性别和年龄等。
- 设备使用信息(不同上下文中的设备拾取、推送通知计数、用户操作等。
- 各有捆绑 ID 所有应用程序的屏幕时间信息和会话计数
- 设备配件及其制造商、型号、固件版本及用户指定名称的信息
- 由于捆绑 ,应用程序ID 和异常代码崩溃
- 用户在 Safari 查看的网页语言
研究人员说:“苹果出于未知目的收集了所有这些信息,这是非常令人不安的,尤其是在收集医疗信息方面。这就是为什么苹果声称他们非常关心隐私是非常虚伪的 。即使在设置中关闭“共享分析”,攻击者还将收集并使用所有这些数据。”