IThon.hu | Techben otthon vagyunk!

Az Apple még mindig az iOS biztonsági hibáin kotlik

A múlt héten Denis Tokarev biztonsági kutató több nulladik napi iOS sebezhetőséget hozott nyilvánosságra, miután elmondta, hogy az Apple figyelmen kívül hagyta jelentéseit, és több hónapon keresztül nem javította a problémákat.

Tokarev a Motherboardnak elmondta, hogy az Apple azután vette fel vele a kapcsolatot, hogy nyilvánosságra hozta a panaszait, és miután jelentős médiafigyelmet kaptak. Az Apple egy e-mailben elnézést kért a kapcsolatfelvétel késedelméért, és közölte, hogy “még mindig vizsgálja” a problémákat.

Láttuk az ezzel a problémával kapcsolatos blogbejegyzését és a többi jelentését. Elnézést kérünk a késedelmes válaszadásért. Szeretnénk tudatni Önnel, hogy még mindig vizsgáljuk ezeket a problémákat, és azt, hogy hogyan tudjuk kezelni őket az ügyfelek védelme érdekében. Még egyszer köszönjük, hogy időt szánt arra, hogy jelentse nekünk ezeket a problémákat, nagyra értékeljük a segítségét. Kérjük, tudassa velünk, ha bármilyen kérdése van.
Egy Apple-munkatárs

Az Apple az iOS 14.7-ben kijavította az egyik sebezhetőséget, három másik továbbra is megoldatlan maradt, köztük egy Game Center hiba, amely állítólag lehetővé teszi, hogy bármely, az App Store-ból telepített alkalmazás hozzáférjen a teljes Apple ID e-mail címhez és névhez, az Apple ID hitelesítési tokenekhez, a névjegyzékekhez és egyes mellékletekhez.

Tokarev az összes nulladik napi sebezhetőség részleteit nyilvánosan közzétette, ami arra késztetheti az Apple-t, hogy gyorsabban javítsa őket.

Forrás: CSO

Először március 10. és május 4. között lépett kapcsolatba az Apple-lel ezekkel a hibákkal kapcsolatban, így az Apple-nek hónapjai voltak a javítások kiadására, de érdemes megjegyezni, hogy több biztonsági kutató és maga Tokarev is megerősítette, hogy a hibák nem kiemelten kritikusak, mivel kihasználásukhoz előbb egy rosszindulatú alkalmazásnak meg kellene kapnia az App Store jóváhagyását.

A szakértők mégis kritizálták az Apple reakcióját és a bug bounty programot. Katie Moussouris kiberbiztonsági szakértő a Motherboardnak azt mondta, hogy az Apple eljárása nem normális, és nem is szabad normálisnak tekinteni, míg Nicholas Ptacek kutató szerint az Apple válasza a rossz sajtóra adott reakciónak tűnik.

A hónap elején a The Washington Post több mint két tucat biztonsági kutatóval készített interjút, hogy feltárja az Apple bug bounty programjának hiányosságait. A kutatók szerint az Apple lassan javítja a hibákat, és nem mindig fizeti ki, ami jár, ami miatt a kutatók elégedetlenek az Apple programjával.

Ivan Krstić, az Apple biztonsági tervezésért és architektúráért felelős vezetője akkor azt mondta, hogy az Apple új jutalmak bevezetését tervezi a kutatók számára a részvétel erősítése érdekében, és hogy az Apple azon dolgozik, hogy új és még jobb kutatási eszközöket kínáljon.

Borítókép: The Mac Observer

Kapcsolódó cikkeink

Csak Siri!

Anikó

Idén már ne is számítsunk az új MacBook Prókra?

Anikó

Még jobban elmosódhat a határ az iPadek és MacBookok közt

Anikó