Minulý týden jich bezpečnostní výzkumník Denis Tokarev udělal několik zero-day zranitelnosti iOS veřejné poté, co řekl, že Apple ignoroval jeho zprávy a několik měsíců nedokázal opravit problémy.
Tokarev dnes řekl Základní deska že se Apple ozval poté, co zveřejnil své stížnosti a poté, co zaznamenaly značnou pozornost médií. V e-mailu se Apple omluvil za zpoždění kontaktu a uvedl, že problémy „stále vyšetřuje“.
„Viděli jsme váš příspěvek na blogu týkající se tohoto problému a vaše další zprávy. Omlouváme se za zpoždění v odpovědi,“ napsal zaměstnanec společnosti Apple. „Chceme vám oznámit, že tyto problémy stále vyšetřujeme a jak je můžeme řešit, abychom ochránili zákazníky. Ještě jednou děkujeme, že jste si našli čas a nahlásili nám tyto problémy. Vážíme si vaší pomoci. Pokud máte nějaké dotazy, dejte nám vědět.“
jak získat aplikaci Apple Translate
Jablko dělal opravit jednu ze zranitelností v iOS 14.7, ale neposkytnout Tokarevovi kredit. Tři další zůstávají neřešené, včetně chyby Game Center, která údajně umožňuje libovolné aplikaci nainstalované z App Store plný přístup Apple ID email a jméno, Apple ID ověřovací tokeny, seznamy kontaktů a některé přílohy.
Podrobnosti o všech zranitelnostech zero-day byly zveřejněny zveřejněny veřejně od Tokareva, což může Apple vyzvat k rychlejší opravě.
jak synchronizovat zprávy mac a iphone
Tokarev poprvé kontaktoval Apple ohledně těchto chyb mezi 10. březnem a 4. květnem, takže Apple měl měsíce na vydání záplat, ale stojí za zmínku, že několik bezpečnostních výzkumníků a sám Tokarev potvrdili, že chyby nejsou příliš kritické, protože jejich zneužití by vyžadovalo škodlivý aplikaci pro první přijetí App Store odsouhlasení.
Odborníci přesto kritizují reakci Applu a jeho program odměn za chyby. Řekla to expertka na kybernetickou bezpečnost Katie Moussourisová Základní deska že způsob, jakým Apple postupuje s tímto procesem, „není normální a neměl by být považován za normální“, zatímco výzkumník Nicholas Ptacek řekl, že reakce Applu se jeví jako „reakce na špatný tisk“.
Dříve tento měsíc, The Washington Post vyzpovídal více než dvě desítky bezpečnostních výzkumníků odhalit nedostatky v programu bug bounty společnosti Apple. Výzkumníci uvedli, že Apple pomalu opravuje chyby a ne vždy vyplácí, co dluží, což vede výzkumníky k nespokojenosti s programem Applu.
V té době vedoucí oddělení bezpečnostního inženýrství a architektury společnosti Apple Ivan Krstić řekl, že Apple „plánuje zavést nové odměny pro výzkumníky“ za účelem rozšíření účasti a že Apple pracuje na nabídce nových a ještě lepších výzkumných nástrojů.
Štítky: Zabezpečení Apple , Zranitelnosti
Populární Příspěvky