Apple 幹部は、グループ FaceTime 監視エクスプロイトを発見した 14 歳の少年に、同社のバグ報奨金プログラムから報奨金を与えることを示唆したと伝えられています。
ソーシャルメディアが注目を集めてから 1 週間FaceTime エクスプロイトこれは、発信者が電話に出る前に受信者を盗聴することを可能にするもので、最初の発見者は匿名の Apple 幹部によって訪問されました。
「彼らはまた、グラント氏がバグ報奨金プログラムの対象となることも示唆しました。そして、それが何を意味するかについては翌週にセキュリティチームから連絡があるでしょう」と発見者グラント・トンプソン氏の母親ミシェル・トンプソン氏は語った。 「もし彼が発見したバグに対して何らかの報奨金をもらえたら、私たちは間違いなくそれを彼の大学のために有効に活用するでしょう。なぜなら彼は遠くまで行くだろうと思うからです。願わくば。これは実際に彼が以前から興味を持っていた分野であり、それ以上に興味を持っていました」今。"
でインタビューCNBCとスコークボックスグラント氏は、このプロセスに動じることはなく、今後もアップル製品を使い続けるつもりだと述べ、「時々、このようなものが隙間から落ちてきて見つかることがある」と語った。
ミシェル・トンプソン氏は、問題のアップル幹部の名前を明らかにすることを拒否した。
このエクスプロイトは比較的簡単に誘発できました。発信者は連絡先と FaceTime ビデオ通話を開始し、通話の「呼び出し中」に [ユーザーを追加] をタップして自分の電話番号を入力することで、自分自身を第三者として通話に追加します。適切に実行されると、グループ FaceTime 通話が開始され、通話が受け入れられる前に元の受信者の音声がストリーミングされ始めます。
このバグがソーシャルメディアで注目を集めた後、Apple はグループ FaceTime を無効にし、欠陥の実行を阻止しました。その後、Apple はこのバグについて謝罪し、パッチは間もなくリリースされる予定です。
火曜日、Apple がプライバシーに関するバグについて知らされたと主張された1週間前, Twitter上の投稿では、その期間を確認しているようです。このバグが Apple の公式バグ報告メカニズムを通じて報告されたのか、それとも他の手段によって報告されたのかは不明です。
同社への事前警告に関するその後のTwitterへの投稿は、アカウントに疑わしいと思わせる要素が多数含まれていたため、疑問視された。スクリーンショットの 1 枚のタイムスタンプには、山岳時間や別の適切なタイムゾーンではなく GMT が使用されていることが示され、1 月 1 日より前の投稿は削除されるなど、当時ソーシャル メディアの証言が疑わしいと思われる問題があった。
アップルのバグ報奨金プログラムは 2016 年に発表され、その製品やサービスの脆弱性を発見した人に数千ドルの報奨金を提供しました。報奨金の範囲は、サンドボックス プロセスからサンドボックス外のユーザー データへのアクセスに対する 25,000 ドルから、セキュア ブート ファームウェア コンポーネントの検出に対して授与される 200,000 ドルまでです。
FaceTime のバグが規模のどこに位置するかは不明ですが、全体としては範囲の下限に位置すると考えられます。
このバグ報奨金プログラムは高額の報奨金を提供する可能性があるが、iOSのバグはAppleのセキュリティを破る方法を模索する民間企業に売られることでより高い報奨金が得られる可能性があるため、セキュリティ研究者が参加するのに十分ではないと以前から批判されていた。2017年では、iOS エクスプロイトは一部の企業から 50 万ドルで購入でき、中には iPhone をジェイルブレイクできるバグ一式を購入するのに 150 万ドル以上を支払う企業もあると言われています。
Isamu 
Isamu 
Isamu