AppleInsider поддерживается своей аудиторией и может получать комиссию как ассоциированный и аффилированный партнер Amazon за соответствующие покупки. Эти партнерские отношения не влияют на наши редакционные материалы.
Apple незаметно исправила уязвимость нулевого дня, которая могла дать приложениям доступ к конфиденциальной информации в iOS 15.0.2, но, как сообщается, не поверила первооткрывателю уязвимости.
Уязвимость была обнаружена разработчиком программного обеспечения Денисом Токаревым за семь месяцев до выпуска iOS 15.0.2. Еще в сентябре Токарев написал сообщение в блоге, в котором подробно описал некоторые из своих взаимодействий с программой Apple Bug Bounty Program, включая тот факт, что он остался без упоминания еще одного исправленного недостатка.
Согласно Bleeping Computer Токарев связался с Apple после выпуска iOS 15.0.2, чтобы узнать об отсутствии кредита. Apple ответила, попросив его сохранить конфиденциальность их электронных писем.
Недостаток представлял собой уязвимую ошибку, которая могла дать установленным пользователем приложениям из App Store несанкционированный доступ к конфиденциальным данным, которые обычно были бы защищены с помощью песочницы или средств защиты «Прозрачность, согласие и контроль». . Apple заявляет, что за эти недостатки стоит награда до 100 000 долларов.
Всего Токарев сообщил Apple о четырех уязвимостях. Один из них компания исправила в iOS 14.7, а второй — в iOS 15.0.2. Два недостатка нулевого дня все еще присутствуют в последней версии iOS 15. Apple заявила, что еще в сентябре они «все еще расследуют».
Это не первый случай, когда исследователь безопасности говорит, что его пренебрегли программой Apple bug bounty. Еще в сентябре отчет пролил свет на жалобы на то, что исследователи в области безопасности игнорируются, остаются незарегистрированными или не получают платежи.
Apple, со своей стороны, характеризует программу bug bounty как «безудержный успех». Он отметил, что он работает для быстрого исправления любых ошибок, которые он делает.
