Apple negeert volgens een ontstemde beveiligingsonderzoeker drie door hem gemelde zeroday-kwetsbaarheden nog steeds in iOS 15. Om zijn ongenoegen te uiten, deelt hij nu de details van de resterende kwetsbaarheden.

De beveiligingsonderzoeker, die zichzelf 'illusionofchaos' noemt, beweert tussen begin maart en begin mei vier aanzienlijke kwetsbaarheden te hebben ontdekt in Apples besturingssysteem, zo legt hij in een blogpost uit. Tot dusver heeft Apple nog niet inhoudelijk op de aantijgingen van de onderzoeker gereageerd.

Volgens illusionofchaos zou het in iOS 15 nog steeds mogelijk zijn om via de Game Center-app bij gevoelige gebruikersgegevens te komen. De betreffende zeroday zou het voor apps die geïnstalleerd zijn via de App Store mogelijk maken om toegang te krijgen tot de Core Duet-database. Daarin staan onder meer contacten, sms'jes, berichten en telefoonnummers. Ook het Apple ID-emailadres en de volledige naam van de gebruiker zouden op deze manier buitgemaakt kunnen worden. Ontwikkelaar Kosta Eleftheriou bevestigde dat er op deze manier inderdaad een exploit mogelijk is...

...De enige door de onderzoeker gevonden kwetsbaarheid die vooralsnog verholpen is, is de Analyticsd-zeroday, waardoor door de gebruiker geïnstalleerde apps toegang hadden tot zeer gevoelige informatie. Onder meer medische gegevens, geslacht, leeftijd en andere sekse-gerelateerde data werd hierdoor toegankelijk. Illusionofchaos beweert dat Apple deze gebruikersdata om onbekende redenen verzamelt, wat zou botsen met diens nadrukkelijke focus op privacy. 

Alles bij de bron; Tweakers