A um pesquisador de segurança afirma que a Apple os desprezou por uma falha de dia zero que relataram e que a empresa ainda não corrigiu três outras vulnerabilidades de dia zero que agora estão presentes no iOS 15.
Em um postagem do blog na sexta-feira, o pesquisador de segurança illusionofchaos escreveu sobre sua”experiência frustrante de participar do programa Apple Security Bounty”. O objetivo do programa é oferecer pagamentos a pesquisadores independentes pela descoberta de falhas nos sistemas da Apple.
O pesquisador diz que enviou quatro vulnerabilidades de dia zero para a Apple entre 10 de março e 4 de maio. Uma dessas vulnerabilidades foi corrigida no iOS 14.7, mas o pesquisador disse que a Apple”decidiu encobrir e não listar na página de conteúdo de segurança.”
“Quando os confrontei, eles se desculparam, me garantiram que isso aconteceu devido a um problema de processamento e prometeram listá-lo na página de conteúdo de segurança da próxima atualização”, escreveu illusionofchaos.”Houve três lançamentos desde então e eles quebraram a promessa todas as vezes.”
Além disso, três das outras falhas de segurança ainda estão presentes na versão lançada do iOS 15. O pesquisador disse que a Apple ignorou a divulgação das falhas do iOS.
“Há dez dias pedi uma explicação e avisei que tornaria minha pesquisa pública se não recebesse uma explicação”, disse illusionofchaos.”Minha solicitação foi ignorada, então estou fazendo o que disse que faria. Minhas ações estão de acordo com as diretrizes de divulgação responsável.”
As três vulnerabilidades incluem uma falha que permite que aplicativos baixados da App Store do iOS leiam dados como credenciais de ID da Apple e informações sobre os contatos de um usuário. Outra falha permite que qualquer aplicativo verifique se algum outro aplicativo está instalado em um dispositivo, enquanto a terceira permite que aplicativos com permissões de serviços de localização obtenham acesso a informações de wi-fi.
Esta não é a primeira vez que um pesquisador de segurança expressa preocupações sobre o programa Security Bounty da Apple. No início de setembro, um relatório coletou uma série de reclamações sobre a iniciativa, incluindo pesquisadores chamando a comunicação de má comunicação, confusão de pagamento e outros problemas.
A Apple revisou pela primeira vez seu programa de recompensas em 2019, abrindo-o para qualquer pesquisador de segurança e aumentando os pagamentos. Desde então, a Apple chamou o programa de”sucesso desenfreado”.
O mesmo relatório que coleta reclamações de pesquisadores também indicou que a Apple contratou um novo executivo para supervisionar e reformar seu programa de recompensa por bugs.
