Na semana passada, o pesquisador de segurança Denis Tokarev fez vários vulnerabilidades do iOS de zero-day public depois que ele disse que a Apple havia ignorado seus relatórios e não havia consertado os problemas por vários meses.
Tokarev disse hoje à Placa-mãe que a Apple entrou em contato depois que ele veio a público com suas reclamações e depois que eles viram uma atenção significativa da mídia. Em um e-mail, a Apple se desculpou pelo atraso no contato e disse que”ainda está investigando”os problemas.
“Vimos sua postagem no blog sobre esse problema e seus outros relatórios. Pedimos desculpas pelo demora em responder a você”, escreveu um funcionário da Apple.”Gostaríamos de informar que ainda estamos investigando esses problemas e como podemos resolvê-los para proteger os clientes. Obrigado novamente por nos relatar esses problemas, agradecemos sua ajuda. Informe-nos se tiver qualquer dúvida.”
A Apple corrigiu uma das vulnerabilidades no iOS 14.7, mas não forneceu crédito ao Tokarev. Três outros permanecem sem solução, incluindo um bug do Game Center que supostamente permite que qualquer aplicativo instalado da App Store tenha acesso completo Apple ID e-mail e nome, tokens de autenticação Apple ID, listas de contatos e alguns anexos.
Detalhes sobre todas as vulnerabilidades de dia zero foram publicados publicamente pela Tokarev, o que pode levar a Apple a corrigir mais rápido.
Tokarev primeiro contatou a Apple sobre esses bugs entre 10 de março e 4 de maio, então a Apple teve meses para lançar patches, mas é importante notar que vários pesquisadores de segurança e o próprio Tokarev confirmaram que os bugs são não é altamente crítico, pois explorá-los exigiria um aplicativo malicioso para primeiro receber a aprovação do App Store.
Ainda assim, os especialistas criticaram a resposta da Apple e seu programa de recompensa de bug. A especialista em cibersegurança Katie Moussouris disse ao Motherboard que a manipulação do processo pela Apple”não é normal e não deve ser considerada normal”, enquanto o pesquisador Nicholas Ptacek disse que a resposta da Apple parece uma”reação à imprensa negativa”. No início deste mês, o The Washington Post entrevistou mais de duas dezenas de pesquisadores de segurança para expor as falhas no programa de recompensa de bugs da Apple. Os pesquisadores disseram que a Apple é lenta para corrigir bugs e nem sempre paga o que é devido, levando os pesquisadores a ficarem insatisfeitos com o programa da Apple.
Na época, o chefe de engenharia e arquitetura de segurança da Apple, Ivan Krstić, disse que a Apple está”planejando apresentar novas recompensas para pesquisadores”para expandir a participação e que a Apple está trabalhando para oferecer ferramentas de pesquisa novas e ainda melhores.
