เพื่อขจัดข่าวร้าย Apple ขอโทษ Denis Tokarev นักวิจัยด้านความปลอดภัยในโลกไซเบอร์ที่ผิดหวังหรือที่รู้จักว่า @illusionofchaos หลังจากที่เขาเปิดเผยช่องโหว่ Zero-day จำนวน 3 รายการที่เขาพบในที่สาธารณะ iOS 15
Tokarev เป็นส่วนหนึ่งของโปรแกรม Apple Security Bounty และพบข้อบกพร่องซีโร่เดย์สี่จุดระหว่างวันที่ 10 มีนาคมถึง 4 พฤษภาคมในการอัปเดต iOS 15.0 ล่าสุด Apple ได้แก้ไขช่องโหว่ด้านความปลอดภัย 1 ใน 4 ช่องโหว่ในการอัปเดต iOS 14.7 แต่นักวิจัยกล่าวหาว่าบริษัทต้องการปกปิดข้อบกพร่อง 3 ประการที่เหลือโดยไม่แสดงรายการในหน้าเนื้อหาความปลอดภัย
<ช่องโหว่ Zero-day ใน iOS ได้รับความสนใจอย่างมากเมื่อเร็วๆ นี้ หลังจากที่แอมเนสตี้ อินเตอร์เนชั่นแนลเผยแพร่ฐานข้อมูลใหม่ของเหยื่อที่ถูกโจมตีโดยสปายแวร์เพกาซัส Pegasus พัฒนาโดยบริษัท NSO ในอิสราเอล ใช้ช่องโหว่ซีโร่เดย์ซึ่งไม่ต้องการการดำเนินการใด ๆ จากผู้ที่ตกเป็นเหยื่อเพื่อควบคุม iPhone รุ่นล่าสุด เพียงแค่ส่งข้อความ รายงานที่ตามมาได้ตั้งคำถามเกี่ยวกับความปลอดภัยของ iPhone ของ Apple และความตั้งใจของบริษัทที่จะป้องกันการโจมตีดังกล่าว
Apple ขอโทษสำหรับการเพิกเฉยต่อข้อบกพร่องซีโร่เดย์ 3 ประการใน iOS 15 และแก้ไขอย่างเงียบๆ
ในการเปิดเผยของเขา บล็อกโพสต์ Tokarev กล่าวว่า Apple ขอโทษเขาสำหรับความล่าช้าและกล่าวว่ากำลังตรวจสอบเรื่องนี้ “หลังจากการเผยแพร่นี้ 24 ชั่วโมง ในที่สุดฉันก็ได้รับการตอบกลับจาก Apple”
เราขออภัยในความล่าช้าในการตอบกลับคุณ” พนักงานของ Apple เขียน “เราต้องการแจ้งให้คุณทราบว่าเรากำลังตรวจสอบปัญหาเหล่านี้อยู่ และเราจะจัดการกับปัญหาเหล่านี้ได้อย่างไรเพื่อปกป้องลูกค้า ขอขอบคุณอีกครั้งที่สละเวลารายงานปัญหาเหล่านี้ให้เราทราบ เราขอขอบคุณสำหรับความช่วยเหลือของคุณ โปรดแจ้งให้เราทราบหากคุณมีคำถามใดๆ”
อย่างไรก็ตาม นี่ไม่ใช่ครั้งแรกที่ยักษ์ใหญ่ด้านเทคโนโลยีออกมาขอโทษนักวิจัย
เมื่อฉันเผชิญหน้ากับพวกเขา พวกเขาขอโทษ ยืนยันกับฉันว่ามันเกิดขึ้นเนื่องจากปัญหาในการประมวลผล และสัญญาว่าจะแสดงรายการในหน้าเนื้อหาความปลอดภัยของการอัปเดตครั้งต่อไป มีการเผยแพร่สามครั้งตั้งแต่นั้นมาและพวกเขาผิดสัญญาทุกครั้ง
สิบวันก่อนฉันขอคำอธิบายและเตือนจากนั้นฉันจะเผยแพร่งานวิจัยต่อสาธารณะหากไม่ได้รับคำอธิบาย คำขอของฉันถูกเพิกเฉยดังนั้นฉันจึงทำในสิ่งที่ฉันพูด การดำเนินการของฉันเป็นไปตามแนวทางการเปิดเผยข้อมูลอย่างมีความรับผิดชอบ (Google Project Zero เปิดเผยช่องโหว่ใน 90 วันหลังจากรายงานไปยังผู้ขาย ZDI – ใน 120) ฉันรอนานกว่านี้มาก ถึงครึ่งปีในหนึ่งกรณี
ต้องบอกว่านักพัฒนาเจลเบรกบอก Tokarev ว่า Apple ได้ออกการแก้ไขสำหรับทั้งสาม 0 วันซึ่งก็คือ เสร็จภายในวันเดียวหลังจากที่ข้าพเจ้าได้เปิดเผยแล้ว แต่เขาไม่ได้ยืนยันการอ้างสิทธิ์
อ่านเพิ่มเติม: