Para impedir a mídia negativa, a Apple se desculpou com o frustrado pesquisador de segurança cibernética Denis Tokarev, também conhecido como @illusionofchaos, depois que ele divulgou publicamente três vulnerabilidades de dia zero que encontrou em iOS 15.
Tokarev faz parte do programa Apple Security Bounty e descobriu quatro falhas de dia zero entre 10 de março e 4 de maio na última atualização do iOS 15.0. A Apple corrigiu uma das quatro vulnerabilidades de segurança na atualização do iOS 14.7, mas o pesquisador acusa a empresa de querer cobrir as três falhas restantes, não as listando na página de conteúdo de segurança.
Explorações de dia zero no iOS têm recebido muita atenção, recentemente, depois que a Anistia Internacional publicou um novo banco de dados das vítimas atacadas pelo spyware Pegasus. Desenvolvido pela empresa israelense NSO, o Pegasus usa essas vulnerabilidades de dia zero que não exigem nenhuma ação das vítimas para assumir o controle dos iPhones mais recentes, simplesmente enviando uma mensagem de texto. Relatórios subsequentes questionaram a segurança do iPhone da Apple e a vontade da empresa de evitar tais ataques.
A Apple se desculpa por ignorar três falhas de dia zero no iOS 15 e silenciosamente as corrige
Em sua divulgação postagem do blog , Tokarev menciona que a Apple se desculpou com ele pelo atraso e disse que está investigando o assunto “Exatamente 24 horas após esta publicação, finalmente recebi uma resposta da Apple.”
Pedimos desculpas pela demora em responder a você ”, escreveu um funcionário da Apple. “Queremos informar que ainda estamos investigando esses problemas e como podemos resolvê-los para proteger os clientes. Obrigado mais uma vez por nos informar sobre esses problemas. Agradecemos sua ajuda. Informe-nos se tiver alguma dúvida. ”
No entanto, não é a primeira vez que o gigante da tecnologia pede desculpas ao pesquisador.
Quando os confrontei, eles se desculparam, me garantiram que isso aconteceu devido a um problema de processamento e prometeram listá-lo na página de conteúdo de segurança da próxima atualização. Houve três lançamentos desde então e eles quebraram a promessa a cada vez.
Dez dias atrás, eu pedi uma explicação e avisei que tornaria minha pesquisa pública se não recebesse uma explicação. Minha solicitação foi ignorada, então estou fazendo o que disse que faria. Minhas ações estão de acordo com as diretrizes de divulgação responsável (o Google Project Zero revela vulnerabilidades em 90 dias após relatá-las ao fornecedor, ZDI-em 120). Eu esperei muito mais, até meio ano em um caso.
Dito isso, um desenvolvedor de jailbreak disse a Tokarev que a Apple lançou uma correção para todos os três dias 0, que foi feito em um dia após eu tê-los divulgado. Mas ele não confirmou a afirmação.
Leia mais: