iOS Zero-Day İçin PoC Kodu Yayınlanmaya Başlandı

Üç iOS zero-day güvenlik açığı ( Temmuz’da yamalanan dördüncü güvenlik açığı) için kavram kanıtı istismar kodu (PoC), Apple’ın yamayı geciktirmesi ve araştırmacıya ödül vermemesinin ardından GitHub’da yayınlandı.

Dört adet zero-day’i bulan ve kimliği bilinmeyen araştırmacı, 10 Mart ile 4 Mayıs arasında bulduğu zafiyetleri Apple’a bildirdi. Ancak şirket güvenlik danışmanına bunun karışılığında ücret vermeden Temmuz ayında 14.7 sürümünde zafiyetlerden birini yamaladı.

Araştırmacı yaptığı açıklamada “Onlarla yüzleştiğimde özür dilediler, bunun bir daha olmayacağına dair güvence verdiler ve bir sonraki güncellemenin güvenlik içeriği sayfasında listelemeye söz verdiler o zamandan beri üç sürüm çıktı ve her seferinde sözlerini bozdular.” dedi. Tüm bu süreçlerden sonra araştırmacı Apple olan kızgınlığınında verdiği karar ile zafiyetlerin PoC kodunu yayınladı.

Yayınlanan zafiyet PoC kodları şöyle:

Apple konu ile ilgili bir açıklama yapmazken yazılım mühendisi Kosta Eleftheriou , Gamed sıfır gününden yararlanmak ve hassas kullanıcı bilgilerini toplamak için tasarlanan uygulamanın en son iOS sürümü olan iOS 15.0’da çalıştığını doğruladı.

Diğer güvenlik araştırmacıları ve hata ödül avcıları da Apple Güvenlik Ödül Programı aracılığıyla Apple’ın ürün güvenlik ekibine güvenlik açıklarını bildikten sonra benzer bir durum yaşadıklarını anlattılar. Ayrıca yapılan açıklama ve yorumlarda Apple’ın ödül parasını vermediğini ve zafiyetleri sessizce düzeltildiğini söylediler.

Kaynka: bleepingcomputer.com

Exit mobile version