Un code d’exploitation de démonstration pour trois vulnérabilités de type «zero-day» d’iOS a été publié sur GitHub après qu’Apple ait retardé l’application des correctifs et n’ait pas crédité le chercheur.
Le chercheur qui a découvert les quatre jours zéro les a signalés à Apple entre le 10 mars et le 4 mai.
«En raison d’un problème de traitement, votre crédit sera inclus dans les avis de sécurité d’une prochaine mise à jour. Nous vous prions de nous excuser pour ce désagrément», lui a répondu Apple lorsqu’il a demandé pourquoi la liste des bogues de sécurité corrigés pour iOS n’incluait pas son zero-day.
Apple n’a pas répondu à l’e-mail de BleepingComputer pour valider les affirmations du chercheur.
L’ingénieur logiciel Kosta Eleftheriou a confirmé que l’application conçue pour exploiter le zero-day Gamed et récolter les informations sensibles des utilisateurs fonctionne sur iOS 15.0, la dernière version d’iOS.
«Toutes ces informations sont collectées par Apple à des fins inconnues, ce qui est assez inquiétant, en particulier le fait que des informations médicales sont collectées», a déclaré le chercheur, faisant référence à la journée zero-day analyticsd corrigée en silence dans iOS 14.7.