עדכון הנקודה האחרון של אפל עבורiOS 15אינו מכיל תיקונים לשלוש נקודות תורפה של יום אפס שדווחו לחברה לפני חודשים ונחשפו ברבים בשבוע שעבר.
בספטמבר, חוקר האבטחה Denis Tokarev, המוכר יותר בשם הבדוי illusionofcha0s, טען כי אפל התעלמה ממספר דיווחים הנוגעים לנקודות תורפה שהתגלו לאחרונה ב-iOS, מערכת ההפעלה הסלולרית של החברה. Tokarev דיווח על ארבעה פגמים לאפל בין ה-10 במרץ ל-4 במאי, ובעוד בעיה אחת תוקנה ב-iOS 14.7, שלושת האחריםלהישאר פעיליםבגרסה העדכנית ביותר של iOS 15.0.1.
על פי הודאתו, הפגיעויות של יום האפס שנמשכות אינן קריטיות, כאשר אחת הנוגעת לבאג שעלול לאפשר לאפליקציות בעלות מבנה זדוני לקרוא את פרטי ה-Apple ID של המשתמשים אם יאפשרו איכשהו ל-App Store.
ובכל זאת, הטיפול של אפל בגילויים, שדווח באמצעות תוכנית הבאג באונטי,לא יושב טובעם Tokarev, שכתב פוסט בבלוג בסוף ספטמבר המפרט את האינטראקציות שלו עם הצוות של ענקית הטכנולוגיה. לדברי החוקר, אפל לא הצליחה לרשום את בעיית האבטחה שהיא תיקנה ב-iOS 14.7 ולא הוסיפה מידע על הפגם בעדכוני דפי האבטחה הבאים.
"כשהתעמתתי איתם, הם התנצלו, הבטיחו לי שזה קרה בגלל בעיית עיבוד והבטיחו לרשום זאת בדף תוכן האבטחה של העדכון הבא", כתבה אז illusionofchaos. "היו שלושה פרסומים מאז והם הפרו את ההבטחה שלהם בכל פעם".
אפל ראתה את הפוסט בבלוג של Tokarev ושוב התנצלה. החברה אמרה שהצוותים שלה היועדיין חוקרתשלושת הפגיעויות הנותרות נכון ל-27 בספטמבר, אך Tokarev פרסמה את הפגמים בשבוע שעבר בהתאם לפרוטוקולים הסטנדרטיים של גילוי פגיעות.
האקרים אתייםמתחו ביקורתתוכנית Bug Bounty של אפל והטיפול הכללי של החברה בחוקרי אבטחת הציבור, תוך ציון חוסר תקשורת, בעיות תשלום ובעיות אחרות. היוזמה מציעה תשלומים עבור באגים וניצולים.
מוקדם יותר השבוע, החוקר בובי ראוךנחשף בפומביפגיעות של AirTag לאחר שאפל לא הצליחה לענות על שאלות בסיסיות לגבי הבאג והאם ראוך ייזקף לזכות הממצא. הפגם מאפשר לתוקפים להכניס קוד שעלול להפנות שומרונים טובים לדף אינטרנט זדוני כאשר המכשיר נסרק במצב אבוד.
