Миналата седмица изследователят по сигурността Денис Токарев направи няколко публични уязвимости с нулев ден в iOS след като каза, че Apple е пренебрегнала докладите му и не е успяла да отстрани проблемите в продължение на няколко месеца.
Токарев каза днес дънна платка че Apple се свърза, след като той излезе публично с оплакванията си и след като видяха значително медийно внимание. В имейл Apple се извини за забавянето на контакта и каза, че „все още разследва“ проблемите.
„Видяхме публикацията ви в блога относно този проблем и другите ви доклади. Извиняваме се за забавянето на отговора ви“, написа служител на Apple. „Искаме да ви уведомим, че все още разследваме тези проблеми и как можем да се справим с тях, за да защитим клиентите. Благодарим ви отново, че отделихте време да ни съобщите за тези проблеми. Оценяваме помощта ви. Моля, уведомете ни, ако имате въпроси.
трябва ли да си купя ябълков телевизор
Apple Направих коригира една от уязвимостите в iOS 14.7, но не предостави на Токарев кредит. Други три остават без адресиране, включително грешка в Game Center, за която се твърди, че позволява на всяко приложение, инсталирано от App Store, да има пълен достъп Apple ID имейл и име, Apple ID токени за удостоверяване, списъци с контакти и някои прикачени файлове.
Подробности за всички уязвимости от нулевия ден са били публикуван публично от Токарев, което може да накара Apple да ги поправи по-бързо.
защо работи само десният ми airpod
Токарев за първи път се свърза с Apple относно тези грешки между 10 март и 4 май, така че Apple има месеци да издава корекции, но си струва да се отбележи, че няколко изследователи по сигурността и самият Токарев потвърдиха, че грешките не са много критични, тъй като използването им би изисквало злонамерен приложение, за да получите първо App Store одобрение.
Все пак експертите разкритикуваха отговора на Apple и програмата за награждаване на грешки. Това каза експертът по киберсигурност Кейти Мусурис дънна платка че справянето от Apple с процеса „не е нормално и не трябва да се счита за нормално“, докато изследователят Никълъс Птачек каза, че отговорът на Apple се възприема като „реакция на лоша преса“.
По-рано този месец, The Washington Post интервюира повече от две дузини изследователи по сигурността изложете недостатъците в програмата за бъгове на Apple. Изследователите казаха, че Apple бавно отстранява грешки и не винаги изплаща дължимото, което кара изследователите да са недоволни от програмата на Apple.
По това време ръководителят на отдела за сигурност и архитектура на Apple Иван Кръстич каза, че Apple „планира да въведе нови награди за изследователи“, за да разшири участието си, и че Apple работи за предлагане на нови и още по-добри инструменти за изследване.
Етикети: сигурност на Apple , Уязвимости
Популярни Публикации