يوم الخميس ، كشف الباحث الأمني من برنامج Apple Security Bounty ، دينيس توكاريف ، عن ثلاث ثغرات في نظام التشغيل iOS 15 من Apple للتعبير عن إحباطه من Apple بشأن برنامج المكافآت الأمنية الخاص بها.
قال الباحث ، المعروف بالاسم المستعار IllusionOfChaos ، إن تصرفه جاء ردًا على تقاعس Apple عن إصلاح الثغرات الأمنية. شارك الباحث الأمني illusionofchaos تجربته في منشور مدونة بما في ذلك الادعاء بأن شركة Apple قد علمت وتتجاهل ثلاث ثغرات أمنية في يوم الصفر منذ مارس وهم في iOS 15.
"لقد أبلغت عن أربع ثغرات أمنية (يوم الصفر) هذا العام بين 10 مارس و 4 مايو ، وحتى الآن لا تزال ثلاثة منها موجودة في أحدث إصدار iOS (15.0) وتم إصلاح واحدة في 14.7 ، لكن Apple قررت التستر عليها وعدم إدراجه في صفحة محتوى الأمان ". وأضاف الباحث أنه بينما اعتذرت شركة Apple في البداية عن ردها ، إلا أنها لم ترد فيما بعد على بريده الإلكتروني عندما هدد بمشاركة تفاصيل حول نقاط الضعف في غضون عشرة أيام.
في المنشور ، قال الباحث إن شركة Apple زعمت في رسالتها الإلكترونية الأولية أن الشركة فشلت في الاعتراف علنًا بالثغرات الأمنية بسبب "مشكلة معالجة".
"عندما واجهتهم ، اعتذروا ، وأكدوا لي أن الأمر حدث بسبب مشكلة في المعالجة ووعدوا بإدراجها في صفحة المحتوى الأمني للتحديث التالي. كانت هناك ثلاث حالات منذ ذلك الحين ، وقد حنثوا بوعدهم في كل مرة ، "يقول الباحث.
ثم أعطى الباحث الأمني شركة Apple عشرة أيام لشرح سبب الخمول المستمر في إصلاح الخلل ، محذراً إياهم من أن التفاصيل ستتم مشاركتها بعد انتهاء الإطار الزمني. نظرًا لأن Apple لم تستجب ، فقد تمت الآن مشاركة جميع الأبحاث عبر الإنترنت.
"تم تجاهل طلبي ، لذا فأنا أفعل ما قلته. تتوافق أفعالي مع إرشادات الإفصاح المسؤول (يكشف Google Project Zero عن نقاط الضعف في غضون 90 يومًا بعد إبلاغ البائع عنها ، ZDI - في 120). لقد انتظرت أكثر من ذلك بكثير ، حتى نصف عام في حالة واحدة ، "يفسر الباحث ذلك لأنه شارك تفاصيل الثغرات الأمنية جنبًا إلى جنب مع كود استغلال PoC لكل منهم.
ومن المثير للاهتمام ، أن مطور جيلبريك مجهول يدعي أنه أصلح جميع نقاط الضعف الثلاثة ، بالكاد بعد يوم واحد من الكشف عنها.
ليست هناك تعليقات:
إرسال تعليق