A múlt héten Denis Tokarev biztonsági kutató több nulladik napi iOS sebezhetőséget hozott nyilvánosságra, miután elmondta, hogy az Apple figyelmen kívül hagyta jelentéseit, és több hónapon keresztül nem javította a problémákat.
Tokarev a Motherboardnak elmondta, hogy az Apple azután vette fel vele a kapcsolatot, hogy nyilvánosságra hozta a panaszait, és miután jelentős médiafigyelmet kaptak. Az Apple egy e-mailben elnézést kért a kapcsolatfelvétel késedelméért, és közölte, hogy “még mindig vizsgálja” a problémákat.
Láttuk az ezzel a problémával kapcsolatos blogbejegyzését és a többi jelentését. Elnézést kérünk a késedelmes válaszadásért. Szeretnénk tudatni Önnel, hogy még mindig vizsgáljuk ezeket a problémákat, és azt, hogy hogyan tudjuk kezelni őket az ügyfelek védelme érdekében. Még egyszer köszönjük, hogy időt szánt arra, hogy jelentse nekünk ezeket a problémákat, nagyra értékeljük a segítségét. Kérjük, tudassa velünk, ha bármilyen kérdése van.
Az Apple az iOS 14.7-ben kijavította az egyik sebezhetőséget, három másik továbbra is megoldatlan maradt, köztük egy Game Center hiba, amely állítólag lehetővé teszi, hogy bármely, az App Store-ból telepített alkalmazás hozzáférjen a teljes Apple ID e-mail címhez és névhez, az Apple ID hitelesítési tokenekhez, a névjegyzékekhez és egyes mellékletekhez.
Tokarev az összes nulladik napi sebezhetőség részleteit nyilvánosan közzétette, ami arra késztetheti az Apple-t, hogy gyorsabban javítsa őket.
Először március 10. és május 4. között lépett kapcsolatba az Apple-lel ezekkel a hibákkal kapcsolatban, így az Apple-nek hónapjai voltak a javítások kiadására, de érdemes megjegyezni, hogy több biztonsági kutató és maga Tokarev is megerősítette, hogy a hibák nem kiemelten kritikusak, mivel kihasználásukhoz előbb egy rosszindulatú alkalmazásnak meg kellene kapnia az App Store jóváhagyását.
A szakértők mégis kritizálták az Apple reakcióját és a bug bounty programot. Katie Moussouris kiberbiztonsági szakértő a Motherboardnak azt mondta, hogy az Apple eljárása nem normális, és nem is szabad normálisnak tekinteni, míg Nicholas Ptacek kutató szerint az Apple válasza a rossz sajtóra adott reakciónak tűnik.
A hónap elején a The Washington Post több mint két tucat biztonsági kutatóval készített interjút, hogy feltárja az Apple bug bounty programjának hiányosságait. A kutatók szerint az Apple lassan javítja a hibákat, és nem mindig fizeti ki, ami jár, ami miatt a kutatók elégedetlenek az Apple programjával.
Ivan Krstić, az Apple biztonsági tervezésért és architektúráért felelős vezetője akkor azt mondta, hogy az Apple új jutalmak bevezetését tervezi a kutatók számára a részvétel erősítése érdekében, és hogy az Apple azon dolgozik, hogy új és még jobb kutatási eszközöket kínáljon.
Borítókép: The Mac Observer
