あるセキュリティ研究者は、Apple が報告したゼロデイ脆弱性を無視し、現在存在している他の 3 つのゼロデイ脆弱性を同社はまだ修正していないと主張している。iOS15

ブログ投稿金曜日、セキュリティ研究者のillusionofchaosは、「Apple Security Bountyプログラムに参加してイライラした経験」について書いた。このプログラムは、Appleのシステムの欠陥を発見した独立研究者に報酬を提供することを目的としている。

研究者によると、彼らは3月10日から5月4日までの間に4つのゼロデイ脆弱性をAppleに提出したという。それらの脆弱性のうちの1つはiOS 14.7でパッチが適用されたが、Appleは「それを隠蔽し、セキュリティコンテンツページに記載しないことを決定した」と研究者は述べた。 」

「私が彼らに問い詰めると、彼らは謝罪し、処理の問題が原因で起こったことを保証し、次のアップデートのセキュリティコンテンツページにそれを記載することを約束してくれた」とillusionofchaosは書いている。 「それ以来3回のリリースがあったが、そのたびに約束を破った。」

さらに、他の 3 つのセキュリティ上の欠陥は、リリースされたバージョンの iOS 15 にもまだ存在しています。研究者は、Apple がこの脆弱性の開示を無視していると述べました。iOS欠陥。

「10日前、私は説明を求め、説明がなければ研究を公表すると警告した」とillusionofchaos氏は語った。 「私の要求は無視されたので、私は言う通りにしています。私の行動は責任ある情報開示ガイドラインに従っています。」

3 つの脆弱性には、iOS からダウンロードしたアプリを許可する欠陥が含まれています。アプリストアApple ID 認証情報やユーザーの連絡先に関する情報などのデータを読み取ります。もう 1 つの脆弱性では、任意のアプリがデバイスに他のアプリがインストールされているかどうかを確認できます。また、3 つ目の脆弱性では、位置情報サービスの権限を持つアプリが Wi-Fi 情報にアクセスできるようになってしまいます。

セキュリティ研究者がAppleのセキュリティ報奨金プログラムについて懸念を表明したのはこれが初めてではない。 9月初めにまとめられた報告書は、たくさんの苦情この取り組みについては、コミュニケーション不足、支払いの混乱、その他の問題について研究者らが指摘する内容も含まれている。

Appleは2019年に初めて報奨金プログラムを全面的に見直し、セキュリティ研究者であれば誰でも参加できるようにし、報酬を増額した。それ以来、アップルはこのプログラムを「大成功」と呼んでいる。

研究者の苦情をまとめた同じ報告書では、Appleがバグ報奨金プログラムを監督し改革するために新しい幹部を雇用したことも示されている。