На прошлой неделе разработчик и специалист по безопасности Денис Токарев обнаружил несколько уязвимостей zero-day в iOS. Он также сообщил, что Apple проигнорировала его отчёты и не исправляла проблемы несколько месяцев. Apple извинилась перед разработчиком.
Токарев пишет, что Apple связалась с ним только после того, как он опубликовал отчёты о багах публично, и это привлекло внимание СМИ. Apple извинилась перед специалистом в электронном письме и написала, что всё ещё изучает проблему.
Мы увидели ваш отчёт о проблемах. Извиняемся за столь долгое ожидание ответа. Хотим сообщить, что мы всё ещё изучаем проблемы и думаем над тем, как их можно решить. Ещё раз благодарим вас за то, что сообщили нам о проблемах, мы ценим вашу помощь. Дайте знать, если у вас есть какие-либо вопросы.
Разработчик утверждает, что сообщил Apple о багах ещё весной, так что у Apple было несколько месяцев, чтобы исправить их до публичной публикации.
Apple исправила только одну уязвимость в iOS 14.7, но не отметила, что обнаружил её Токарев. За это компания тоже извинилась и пообещала это исправить. С тех пор вышло уже три обновления, но компания не сдержала своего слова.
Ещё три уязвимости до сих пор есть в iOS 15, включая баг Game Center, который даёт любым приложениям доступ к информации Apple ID.
Токарев сам признал, что обнаруженные им баги не очень опасные. Чтобы ими воспользоваться, нужно получить одобрение на добавление вредоносного приложения в App Store, что не так уж и легко. Тем не менее, Apple могла бы давно исправить эти уязвимости.
Токарев – не первый специалист, который критикует Apple за её отношение к людям, сообщающим компании о багах. Часто пользователи не получают даже обещанной награды, а на исправление багов уходит очень много времени.
Комментарии