数据分析人员称 iOS 15 正式版仍存在 3 个零日安全漏洞

IT之家 9 同年 27 日消息 据 MacRumors 报道，2019 年，草莓公司向公众开放了确保悬赏方案，向与草莓公司社交关键的 iOS、iPadOS、macOS、tvOS 或 watchOS 确保该软件的研究者医护人员提供极高 100 万美元（约 646 万元投资额）的报酬，包括借助这些该软件的高效率。该方案有助于协助草莓公司尽可能地保持其软件平台的确保。

在自此的星期里，有报告显示一些确保研究者医护人员对该方案不不快，以前一位用于化名“illusionofchaos”的确保研究者医护人员社交了他们完全相同的“令人厌烦的经历”。

在 Kosta Eleftheriou 强调的一篇博客当中，这位不敢透露出处的确保研究者员说是，他们在今年 3 同年至 5 同年间向草莓报告了 4 个零日该软件（0-day，是指称被发现后当即被恶意借助的确保该软件），但他们说是，其当中 3 个该软件在 iOS 15 当中依然实际上，一个该软件在 iOS 14.7 当中取得了修复，但草莓不能给他们任何表扬。

“我就让社交我参加草莓确保悬赏方案的令人厌烦的经历。今年 3 同年 10 日至 5 同年 4 年份间，我报告了 4 个零日该软件，截至以外，其当中 3 个仍实际上于最新的 iOS 旧版本（15.0）当中，一个在 14.7 当中取得修复，但草莓暂时掩盖它，不把它列在确保段落主页上。当我与他们对质时，他们表示歉意，向我保证这是由于处置问题而发生的，并允诺在下一次系统升级的确保段落主页上列出。自此有三个旧版本，他们每次都违背允诺。”

该人士说是，上周，他们警告通知草莓，如果他们不能接获澄清，他们将引起争议自己的研究者。然而，草莓公司不能理会这一允许，导致他们引起争议披露了这些该软件。

IT之家察觉到，其当中一个零日该软件与一些游戏当中心有关，据称强制任何从 App Store 安装的API访问一些用户数据。

“- Apple ID 电子邮件和与之相关的通称

- Apple ID 认证令牌，强制代表用户访问 *.apple.com 上的至少一个东北侧

- 对 Core Duet 索引的完备文件系统复制到访问，举例来说来自邮件、短信、iMessage、第三方消息API的的网络列表以及关于所有用户与这些的网络互动的URL（包括星期戳和统计数据），还有一些附件（如 URL 和译文）。

- 对迅速拨号索引和定址县尉索引的完备文件系统复制到权限，包括的网络图片和其他URL，如创建人和修改年份（刚刚在 iOS 15 上检查过，这个该软件封禁，所以这个该软件最近一定被悄悄修复了）。”

另外两个零日该软件似乎依然实际上于 iOS 15 当中，以及 iOS 14.7 当中修补的那个该软件，也在博客当中被详细说是明。

草莓尚无对该纰漏 iOS 系统零日该软件博客发表华尔街日报进行澄清。