AppleInsider поддерживается своей аудиторией и может получать комиссию, когда вы совершаете покупки по нашим ссылкам.
Эти партнерские отношения не влияют на наши редакционные материалы.
Apple выпустила точечное обновление для iOS 15 в пятницу, но выпуск, похоже, направлен в основном на проблемы удобства использования, поскольку три уязвимости нулевого дня, которые были публично раскрыты на прошлой неделе, не исправлены.
В сентябре исследователь безопасности Денис Токарев, более известный под псевдонимом illusionofcha0s, заявил, что Apple проигнорировала несколько отчетов о недавно обнаруженных уязвимостях нулевого дня в iOS, флагманской мобильной операционной системе компании. Токарев в своем блоге сказал, что в период с 10 марта по 4 мая он сообщил Apple о четырех недостатках, и хотя одна проблема была исправлена в iOS 14.7, остальные три остаются активными.
В пятницу исследователь безопасности отправился в Twitter, чтобы сообщить, что три проблемы сохраняются в последней версии iOS 15.0.1.
По его собственному признанию, оставшиеся уязвимости нулевого дня не являются срочными, а одна связана с ошибкой, которая может позволить вредоносным приложениям считывать информацию Apple ID пользователей, если это каким-то образом разрешено. в App Store.
Тем не менее, обработка Apple раскрытия информации, о которой сообщалось в рамках программы Bug Bounty, не устраивает Токарева, который в конце сентября написал в блоге сообщение, в котором подробно описал свое взаимодействие с командой технического гиганта. По словам исследователя, Apple не смогла перечислить проблему безопасности, которую она исправила в iOS 14.7, и не добавила информацию об уязвимости в последующих обновлениях страницы безопасности.
«Когда я столкнулся с ними, они извинились, уверили меня, что это произошло из-за проблемы с обработкой, и пообещали перечислить это на странице безопасности следующего обновления», — написала illusionofchaos время. «С тех пор было три релиза, и каждый раз они нарушали свое обещание».
Apple увидела запись в блоге Токарева и снова извинилась. Компания заявила, что по состоянию на 27 сентября ее команды все еще занимались исследованием трех оставшихся уязвимостей. На прошлой неделе Токарев обнародовал уязвимости в соответствии с
Этичные хакеры раскритиковали программу Apple Bug Bounty и общее отношение компании к исследователям общественной безопасности, сославшись на отсутствие связи, проблемы с оплатой и другие проблемы. Инициатива предлагает выплаты за ошибки и эксплойты.
Ранее на этой неделе исследователь Бобби Раух публично раскрыл уязвимость AirTag после того, как Apple не смогла ответить на основные вопросы об ошибке и приписывают ли Раух открытие. Уязвимость позволяет злоумышленникам вставить код, который может перенаправить добрых самаритян на вредоносную веб-страницу при сканировании устройства в режиме пропажи.