חוקר אבטחה טוען שאפל דחתה אותם על פגם של יום אפס שעליו דיווחו, ושהחברה עדיין לא תיקנה שלוש נקודות תורפה אחרות של יום אפס שקיימות כעתiOS 15.
ב-אפוסט בבלוגביום שישי, חוקר האבטחה illusionofchaos כתב על "החוויה המתסכלת שלהם בהשתתפות בתוכנית Apple Security Bounty". התוכנית נועדה להציע תשלומים לחוקרים עצמאיים עבור מציאת פגמים במערכות של אפל.
החוקר אומר שהם הגישו לאפל ארבע נקודות תורפה של יום אפס בין ה-10 במרץ ל-4 במאי. אחת מהחולשות הללו תוקנה ב-iOS 14.7, אך החוקר אמר שאפל "החליטה לכסות אותה ולא לרשום אותה בדף תוכן האבטחה. "
"כשהתעמתתי איתם, הם התנצלו, הבטיחו לי שזה קרה בגלל בעיית עיבוד והבטיחו לרשום זאת בדף תוכן האבטחה של העדכון הבא", כתבה illusionofchaos. "היו שלושה פרסומים מאז והם הפרו את ההבטחה שלהם בכל פעם".
בנוסף, שלושה מפגמי האבטחה האחרים עדיין קיימים בגרסה שפורסמה של iOS 15. החוקר אמר שאפל התעלמה מהחשיפה שלiOSפגמים.
"לפני עשרה ימים ביקשתי הסבר והזהרתי אז שאפרסם את המחקר שלי בפומבי אם לא אקבל הסבר", אמר illusionofchaos. "הבקשה שלי התעלמה ולכן אני עושה מה שאמרתי שאעשה. הפעולות שלי הן בהתאם להנחיות גילוי אחראיות".
שלושת הפגיעויות כוללות פגם המאפשר הורדת אפליקציות מה-iOSApp Storeכדי לקרוא נתונים כמו אישורי Apple ID ומידע על אנשי הקשר של משתמש. פגם נוסף מאפשר לכל אפליקציה לבדוק אם אפליקציה אחרת מותקנת במכשיר, בעוד שהשלישי מאפשר לאפליקציות עם הרשאות שירותי מיקום לקבל גישה למידע Wi-Fi.
זו לא הפעם הראשונה שחוקר אבטחה מביע דאגות לגבי תוכנית Security Bounty של אפל. מוקדם יותר בספטמבר נאסף דו"חשלל תלונותעל היוזמה, כולל חוקרים שקוראים לתקשורת לקויה, בלבול בתשלומים ונושאים אחרים.
אפל שיפצה לראשונה את תוכנית הפרס שלה ב-2019, פתחה אותה לכל חוקר אבטחה והגדילה את התשלומים. מאז, אפל כינתה את התוכנית "הצלחה בורחת".
אותו דו"ח שאסף תלונות חוקרים גם הצביע על כך שאפל שכרה בכיר חדש כדי לפקח ולתקן את תוכנית פרס הבאג שלה.
