Apple ответила исследователю безопасности, который заявил, что компания проигнорировала несколько его отчетов об уязвимостях, заявив, что «все еще исследует» проблемы.
Ранее в сентябре исследователь безопасности Денис Токарев написал в блоге сообщение, в котором подробно описал свое взаимодействие с программой Apple Bug Bounty Program. Токарев сказал, что из четырех недостатков безопасности, которые он сообщил Apple, была исправлена только одна.
Остальные три ошибки остались не исправленными в выпущенной версии iOS 15, сообщил Токарев Motherboard. В ответ на его сообщение в блоге Apple извинилась за задержку связи и добавила, что исследует проблему.
«Мы видели ваше сообщение в блоге об этой проблеме и другие ваши отчеты. Мы приносим извинения за задержку с ответом вам», — сказал Токареву Apple. «Мы хотим сообщить вам, что мы все еще изучаем эти проблемы и как мы можем их решить, чтобы защитить клиентов. Еще раз благодарим вас за то, что вы нашли время сообщить нам об этих проблемах, мы ценим вашу помощь. Сообщите нам, если у вас есть любые вопросы.»
В дополнение к трем ошибкам, над которыми Apple все еще работает, Токарев сказал, что ему не приписывают сообщение об одной уязвимости, которую компания исправила.
Три не исправленных ошибки включают ошибку, которая может позволить приложениям App Store считывать определенные данные, такие как адрес электронной почты Apple ID, списки контактов и другую информацию. Однако Токарев отмечает, что ни одна из трех уязвимостей не является критической, что может объяснить отставание Apple в их исправлении. Токарев сообщил об ошибках в период с 10 марта по 4 мая 2021 года.
По крайней мере, один эксперт по кибербезопасности сказал Motherboard, что Apple справляется с ситуацией ненормально, в то время как другой сказал, что компания, вероятно, отреагировала на Токарева из-за освещения в СМИ неисправленных недостатков.
Другие исследователи в области безопасности раскритиковали программу Apple bug bounty за плохое общение и путаницу в выплатах. Apple, со своей стороны, характеризует программу как «безудержный успех».
