هفته گذشته ، دنیس توکاروف ، محقق امنیتی ، به طور علنی چندین آسیب پذیری را در iOS برای یک روز صفر کشف کرد و گفت که اپل گزارش های وی را نادیده گرفته و چندین ماه نتوانسته مشکلات را برطرف کند. اپل قبلاً از این محقق عذرخواهی کرده است.

صحبت کردن با مادربرد امروز ، توکاروف گفت که اپل تنها پس از ارسال پیام های خطا در حوزه عمومی و پس از جلب توجه رسانه ها با آن تماس گرفت. اپل در نامه ای به این محقق بابت عذرخواهی از تاخیر در تماس با این محقق ، گفت که “هنوز در حال تحقیق است”.

“ما پست جدید ترین اخبار اپل شما در مورد این موضوع و سایر گزارشات شما را مشاهده کرده ایم. یکی از کارکنان اپل نوشت: “ما بابت تاخیر در پاسخ شما عذرخواهی می کنیم.” “ما می خواهیم به شما اطلاع دهیم که ما هنوز در حال بررسی این مسائل هستیم و چگونه می توانیم آنها را برای محافظت از مشتریان حل کنیم. باز هم از اینکه وقت خود را برای گزارش این مسائل به ما اختصاص دادید متشکریم و از کمک شما قدردانی می کنیم. اگر سؤالی دارید لطفا اجازه دهید ما بدانیم. ”

این محقق ادعا می کند که در مورد اشتباهات بین 10 مارس تا 4 مه با اپل تماس گرفته است و چندین ماه به اپل فرصت داده است تا قبل از تصمیم گیری برای انتشار آنلاین آنها ، مشکلات را برطرف کند.

جالب اینجاست که اپل یکی از آسیب پذیری هایی را که توسط Tokarev از طریق به روزرسانی iOS 14.7 فاش شد ، وصله کرد. با این حال ، توکارف برای تشخیص این آسیب پذیری اعتبار نداد. هنگام برخورد ، اپل عذرخواهی کرد و به محقق اطمینان داد که به دلیل مشکل پردازش اعتبار داده نشده است و صفحه امنیتی به روز رسانی بعدی به آن اعتبار می دهد. از آن زمان ، سه نسخه از به روز رسانی نرم افزار دنبال شد و اپل به قول خود عمل نکرد.

سه مشکل روز صفر دیگر در iOS 15 حل نشده باقی مانده است ، از جمله اشکال Game Center که می تواند به هر برنامه ای که از App Store نصب شده اجازه دسترسی به ایمیل کامل و نام Apple ID ، مخاطبین ، برخی پیوست ها و برچسب های مجوز Apple ID را بدهد.

خود توکارف و چندین محقق امنیتی اذعان کرده اند که اشتباهات کشف شده توسط توکاروف حیاتی نیستند. آنها ابتدا نیاز به یک برنامه مخرب برای انتشار در فروشگاه App دارند. با این وجود ، ما معتقدیم که اپل باید به سرعت با این آسیب پذیری ها برخورد کند.

اکنون که توکاروف علناً چهار آسیب پذیری را در روز صفر فاش کرده است ، بازیگران بد می توانند در طبیعت برای آنها دستاوردهایی ایجاد کنند ، بنابراین اپل را مجبور می کند بلافاصله به آنها عمل کند.

توکاروف اولین منتقد جدی برنامه پاداش اشکال اپل نیست. اوایل این ماه الف واشنگتن پست این گزارش نشان می دهد که چگونه بیش از دوجین محقق امنیتی موافقت می کنند که اپل به تدریج اشتباهات خود را تصحیح می کند و طبق وعده محققان پاداش نمی دهد ، که باعث بی اعتمادی و نارضایتی گسترده می شود.

[Via Motherboard]