我们没有碰撞测试假人,咕umble安全研究人员
更新崩溃分析公司Zecops批评了最近发布的iOS利用对使用它的研究人员的隐私风险。
公司链开发的概念验证(POC)利用了许多错误,允许其用户在上下文中运行代码iOS内核。
研究人员可以在探索iOS安全性的过程中将代码与WebKit漏洞或其他iOS安全错误一起使用beplay体育能用吗设备例如iPhone和iPad。
但是,不寻常的是,该软件恰好也从其运行的任何系统中窃取了崩溃转储,Zecops在博客文章:
今天发布的POC只是一个初始版本,它将允许其他人进一步进行。POC与Zecops共享基本分析数据,以找到其他漏洞并帮助进一步保护iOS-该选项可以在源中禁用。
由于其行为,概念验证代码可能会窃取属于运行该信息的人的敏感信息。
当这种不寻常的行为是由研究人员强调在Twitter上。
Google安全研究员Tavis Ormandy指出:“这是一个新的。”
公司响应
Zecops利用在其运行的设备上收获任何崩溃转储 - 不仅是与特定测试相关的崩溃。
发现这种行为的研究人员说,如果Zecops在任何人发送日志时要求明确同意,那就更好了。
为了应对这些批评,该公司表示对其正在做什么开放。
Zecops的创始人/首席执行官Zuk Avraham告诉每日swbeplay2018官网ig:“我们在此开源研究中透明地传达了收集的内容及其目的。
“我们在此UX改进请求之后几个小时内发布了更新。”
Avraham随后澄清说,“ UX改进请求涉及UI [用户界面]选项,以便利的方式禁用遥测共享”。
Zecops专门研究“自动分析崩溃以检测攻击者的错误并发现复杂的攻击”的技术。
作为Zecops反向赏金的一部分获得了小争议中心的利用,并捐赠给Freethesandbox倡议。
这个故事已更新了Zecops的报价的Toadd归因
