Исследователь безопасности утверждает, что Apple пренебрегла им из-за ошибки нулевого дня, о которой они сообщили, и что компания еще не исправила три другие уязвимости нулевого дня, которые теперь присутствуют в iOS 15.
В пятницу в блоге исследователь безопасности illusionofchaos написал о своем «разочаровывающем опыте участия в программе Apple Security Bounty». Программа предназначена для выплаты вознаграждений независимым исследователям за обнаружение недостатков в системах Apple.
По словам исследователя, в период с 10 марта по 4 мая они представили в Apple четыре уязвимости нулевого дня. Одна из этих уязвимостей была исправлена в iOS 14.7, но, по словам исследователя, Apple «решила скрыть ее, а не указывать на странице информации о безопасности». »
«Когда я столкнулся с ними, они извинились, заверили меня, что это произошло из-за проблемы с обработкой, и пообещали перечислить ее на странице безопасности следующего обновления», — написала illusionofchaos. «С тех пор было три релиза, и каждый раз они нарушали свое обещание».
Кроме того, в выпущенной версии iOS 15 все еще присутствуют три других недостатка безопасности. Исследователь сказал, что Apple проигнорировала раскрытие недостатков iOS.
«Десять дней назад я попросил объяснений и предупредил, что обнародую результаты своих исследований, если не получу объяснений», — сказала иллюзия хаоса. «Мой запрос был проигнорирован, поэтому я делаю то, что обещал. Мои действия соответствуют принципам ответственного раскрытия информации».
К трем уязвимостям относится недостаток, который позволяет приложениям, загруженным из iOS App Store, считывать такие данные, как учетные данные Apple ID и информацию о контактах пользователя. Другой недостаток позволяет любому приложению проверять, установлено ли на устройстве какое-либо другое приложение, а третий позволяет приложениям с разрешениями служб определения местоположения получать доступ к информации Wi-Fi.
Это не первый раз, когда исследователь безопасности выражает озабоченность по поводу программы Apple Security Bounty. Ранее, в сентябре, в отчете было собрано множество жалоб на эту инициативу, в том числе исследователей, указывающих на плохую связь, путаницу с платежами и другие проблемы.
Apple впервые пересмотрела свою программу вознаграждений в 2019 году, открыв ее для всех исследователей безопасности и увеличив выплаты. С тех пор Apple называет программу «безоговорочным успехом».
В том же отчете о сборе жалоб исследователей также указано, что Apple наняла нового руководителя для надзора и реформирования своей программы вознаграждения за ошибки.
![Apple удалила WhatsApp и Threads из App Store в Китае [U: Signal and Telegram]](https://applepro.news/wp-content/uploads/2024/04/1713542485_apple-udalila-whatsapp-i-threads-iz-app-store-v-kitae-100x100.jpg)
