В прошлом месяце исследователь безопасности Денис Токарев, также известный как illusionofchaos, поделился своим опытом сообщения Apple о трех уязвимостях iOS нулевого дня с конкретной критикой того, что компания не спешит реагировать, действовать и не воздает ему должное за один из трех недостатков. которые были исправлены. Теперь, похоже, Apple исправила еще один недостаток нулевого дня, на этот раз в iOS 15, который Токарев обнаружил в начале этого года, не отдавая ему должное.
В сентябре Токарев сказал, что, подождав до полугода с момента сообщения Apple о некоторых уязвимостях, он решил обнародовать эту информацию.
Десять дней назад я попросил объяснений и предупредил, что опубликую свои исследования, если не получу объяснений. Мой запрос проигнорировали, поэтому я делаю то, что обещал. Мои действия соответствуют принципам ответственного раскрытия информации (Google Project Zero выявляет уязвимости через 90 дней после сообщения о них поставщику, ZDI — через 120). Я ждал намного дольше, до полугода в одном случае.
В конце сентября Токарев поделился, что получил ответ от Apple, в котором говорилось, что они все еще работают над «проблемами», и извинился за задержку.
В своем сентябрьском сообщении в блоге Токарев подробно описал игровой недостаток нулевого дня (один из трех), который позволил бы любому приложению, установленному из App Store, получить доступ к личным данным пользователя, таким как адрес электронной почты Apple ID и полное имя, токен аутентификации Apple ID, полный доступ для чтения файловой системы к базе данных Core Duet и многое другое.
Теперь Токарев говорит Apple исправила игру нулевого дня, которую он обнаружил в обновлении безопасности iOS 15.0.2, без его кредитования (через BleepingComputer).
После первой ошибки нулевого дня, которую Токарев обнаружил и сообщил Apple, и ему не поверили, когда она была исправлена в iOS 14.7 (19 июля), компания сообщила ему:
«Из-за проблемы с обработкой ваш кредит будет включен в рекомендации по безопасности в следующем обновлении. Приносим свои извинения за доставленные неудобства.»
После того, как второе было исправлено в iOS 15.0.2 при участии «анонимного исследователя», Токарев сказал, что Apple ответила ему в течение шести часов, но, по-видимому, не нашла способа решить проблему с правильным цитированием его. Между тем Apple до сих пор не ответила на аналитику нулевого дня, которая была исправлена в iOS 14.7.
Токарева попросили сохранить в тайне последние электронные письма от Apple, и в настоящее время он выполняет эту просьбу.
Кажется, у них нет отдельного протокола по работе с отчетами, которые уже были обнародованы. И если это сообщение содержит законное оправдание, они могут немного спасти свою репутацию, сделав его общедоступным. Но это их дело, я не буду раскрывать полное сообщение, пока не получу кредит. 2/3 pic.twitter.com/iG6waUELtk
— Денис Токарев (@ illusionofcha0s) 13 октября 2021 г.
Однако они не ответили на мое второе письмо, продолжая игнорировать мои вопросы об уязвимости analyticsd, которые я задал ровно месяц назад. pic.twitter.com/sFUhMzvAAU
— Денис Токарев (@ illusionofcha0s) 13 октября 2021 г.