Пользователь «Хабра» с ником illusionofchaos нашел четыре критические уязвимости в iOS, которые позволяют получить доступ к персональным данным пользователей. Он рассчитывал на вознаграждение в рамках программы Security Bounty, но Apple исправила только одну ошибку, а затем начала игнорировать разработчика.
В апреле illusionofchaos отправил Apple подробный отчет, а в июле была выпущена iOS 14.7, закрывшая один эксплойт. Из-за него посторонние могли узнать множество аналитических данных: медицинскую информацию (пол, возраст, сердечный ритм, длина менструального цикла), длительность сеансов в приложениях, количество полученных уведомлений, языки страниц сайтов, которые пользователь просматривал в Safari, а также список подключенных аксессуаров.
Остальные три уязвимости все еще присутствуют в iOS 15. Они позволяют узнать полное имя владельца устройства, получить доступ к информации об электронной почте, привязанной к Apple ID, контактам электронной почты, SMS и iMessage, а также некоторым вложениям в сообщениях (например, URL-адресам и текстам). Кроме того, злоумышленник может выгрузить список установленных приложений и данные о Wi-Fi.
Ошибки связаны с private API. На странице программы Apple Security Bounty вознаграждение за обнаружение таких оценивается в 100 тысяч долларов. После получения отчета компания сообщила, что ознакомилась с ним и проводит расследование.
В итоге illusionofchaos не заплатили, а на дальнейшие письма Apple за полгода так и не ответила, поэтому он решил обнародовать подробности о найденных уязвимостях в открытом доступе.