AppleInsider è supportato dal suo pubblico e può guadagnare commissioni quando acquisti tramite i nostri link. Queste partnership di affiliazione non influenzano il nostro contenuto editoriale.
L’ultimo aggiornamento puntuale di Apple per iOS 15 non contiene patch per tre vulnerabilità zero-day segnalate all’azienda mesi fa e divulgate pubblicamente la scorsa settimana.
A settembre, il ricercatore di sicurezza Denis Tokarev, meglio conosciuto con il suo pseudonimo illusionofcha0s, ha affermato che Apple ha ignorato più rapporti relativi alle vulnerabilità zero-day scoperte di recente presenti in iOS, il sistema operativo mobile di punta dell’azienda. Tokarev ha segnalato quattro difetti ad Apple tra il 10 marzo e il 4 maggio e, mentre un problema è stato corretto in iOS 14.7, gli altri tre rimangono attivi nell’ultimo iOS 15.0.1.
Per sua stessa ammissione, le vulnerabilità zero-day che persistono non sono critiche, con una relativa a un bug che potrebbe consentire alle app malintenzionate di leggere le informazioni sull’ID Apple degli utenti se in qualche modo consentito sull’App Store.
Tuttavia, la gestione da parte di Apple delle divulgazioni, segnalata tramite il Bug Bounty Program, non va d’accordo con Tokarev, che ha scritto un post sul blog alla fine di settembre in cui descriveva in dettaglio le sue interazioni con il team del gigante della tecnologia. Secondo il ricercatore, Apple non è riuscita a elencare il problema di sicurezza che ha corretto in iOS 14.7 e non ha aggiunto informazioni sul difetto nei successivi aggiornamenti della pagina di sicurezza.
“Quando li ho affrontati, si sono scusati, mi hanno assicurato che era successo a causa di un problema di elaborazione e hanno promesso di elencarlo nella pagina dei contenuti di sicurezza del prossimo aggiornamento”, ha scritto illusionofchaos all’epoca.”Ci sono stati tre rilasci da allora e ogni volta hanno infranto la loro promessa”.
Apple ha visto il post sul blog di Tokarev e si è nuovamente scusata. La società ha affermato che i suoi team stavano ancora indagando sulle tre vulnerabilità rimanenti a partire dal 27 settembre, ma Tokarev ha reso pubbliche le falle la scorsa settimana in linea con i protocolli standard di divulgazione delle vulnerabilità.
Gli hacker etici hanno criticato il Bug Bounty Program di Apple e la gestione generale dell’azienda dei ricercatori di sicurezza pubblica, citando la mancanza di comunicazione, problemi di pagamento e altri problemi. L’iniziativa offre pagamenti per bug ed exploit.
All’inizio di questa settimana, il ricercatore Bobby Rauch ha rivelato pubblicamente una vulnerabilità AirTag dopo che Apple non è riuscita a rispondere a domande di base sul bug e se Rauch sarebbe stato accreditato per la scoperta. Il difetto consente agli aggressori di inserire codice che potrebbe reindirizzare i buoni Samaritani a una pagina Web dannosa quando il dispositivo viene scansionato in Modalità smarrito.
