По словам исследователя, Apple проигнорировала сообщения о трех серьезных проблемах безопасности в iOS 15.

article thumbnail

Исследователь безопасности утверждает, что Apple пренебрегла им из-за ошибки нулевого дня, о которой они сообщили, и что компания еще не исправила три другие уязвимости нулевого дня, которые теперь присутствуют в iOS 15.

В пятницу в блоге исследователь безопасности illusionofchaos написал о своем «разочаровывающем опыте участия в программе Apple Security Bounty». Программа предназначена для выплаты вознаграждений независимым исследователям за обнаружение недостатков в системах Apple.

По словам исследователя, в период с 10 марта по 4 мая они представили в Apple четыре уязвимости нулевого дня. Одна из этих уязвимостей была исправлена ​​в iOS 14.7, но, по словам исследователя, Apple «решила скрыть ее, а не указывать на странице информации о безопасности». »

«Когда я столкнулся с ними, они извинились, заверили меня, что это произошло из-за проблемы с обработкой, и пообещали перечислить ее на странице безопасности следующего обновления», — написала illusionofchaos. «С тех пор было три релиза, и каждый раз они нарушали свое обещание».

Кроме того, в выпущенной версии iOS 15 все еще присутствуют три других недостатка безопасности. Исследователь сказал, что Apple проигнорировала раскрытие недостатков iOS.

«Десять дней назад я попросил объяснений и предупредил, что обнародую результаты своих исследований, если не получу объяснений», — сказала иллюзия хаоса. «Мой запрос был проигнорирован, поэтому я делаю то, что обещал. Мои действия соответствуют принципам ответственного раскрытия информации».

К трем уязвимостям относится недостаток, который позволяет приложениям, загруженным из iOS App Store, считывать такие данные, как учетные данные Apple ID и информацию о контактах пользователя. Другой недостаток позволяет любому приложению проверять, установлено ли на устройстве какое-либо другое приложение, а третий позволяет приложениям с разрешениями служб определения местоположения получать доступ к информации Wi-Fi.

Это не первый раз, когда исследователь безопасности выражает озабоченность по поводу программы Apple Security Bounty. Ранее, в сентябре, в отчете было собрано множество жалоб на эту инициативу, в том числе исследователей, указывающих на плохую связь, путаницу с платежами и другие проблемы.

Apple впервые пересмотрела свою программу вознаграждений в 2019 году, открыв ее для всех исследователей безопасности и увеличив выплаты. С тех пор Apple называет программу «безоговорочным успехом».

В том же отчете о сборе жалоб исследователей также указано, что Apple наняла нового руководителя для надзора и реформирования своей программы вознаграждения за ошибки.

Соцсети