Vulnerabilità zero-day su iOS: Apple si scusa con un ricercatore per i ritardi nelle risposte

Vulnerabilità zero-day su iOS: Apple si scusa con un ricercatore per i ritardi nelle risposte

Un altro episodio di un ricercatore di sicurezza che ha riscontrato mancanza di comunicazione e ritardi con il team di Apple preposto alla soluzione dei bug

di pubblicata il , alle 18:31 nel canale Apple
iOS
 

Nei giorni scorsi sono state rese note quattro vulnerabilità zero-day di iOS dal ricercatore di sicurezza Denis Tokarev: il ricercatore ha affermato di aver scelto l'extrema ratio della divulgazione pubblica dopo aver avuto difficoltà a ricevere riscontri soddisfacenti per diversi mesi dalla Mela, che è risultata fino ad ora incapace di risolvere quanto segnalato dal ricercatore.

Tokarev ha fatto sapere in questi giorni che Apple si è messa in contatto con lui dopo la pubblicazione delle vulnerabilità, scusandosi per non averlo contattato in pecedenza e affermando di essere ancora impegnata a verificare i problemi segnalati.

"Abbiamo visto il tuo post sul blog relativo a questo problema e ad altri tuoi rapporti. Ci scusiamo per il ritardo nel risponderti. Vogliamo farti sapere che stiamo ancora indagando su questi problemi e su come possiamo risolverli per proteggere i clienti. Grazie ancora per aver dedicato del tempo a segnalarci questi problemi, apprezziamo la tua assistenza. Facci sapere se hai qualsiasi domanda" ha scritto Apple a Tokarev.

Il ricercatore aveva contattato Apple la prima volta segnalando questi bug tra il 10 marzo e il 4 maggio scorsi. Nell'arco di questi mesi Apple ha corretto una delle vulnerabilità segnalate in iOS 14.7, senza dare credito a Tokarev e lasciando le altre tre ancora irrisolte. Vale comunque la pena notare che lo stesso Tokarev aveva confermato che le vulnerabilità non sono particolarmente critiche dal momento che il loro sfruttamento dovrebbe obbligatoriamente passare da una app-malware la quale dovrebbe prima ricevere l'approvazione da parte dell'App Store.

La vicenda di Tokarev è solo l'ennesimo episodio di una situazione che già altri ricercatori di sicurezza hanno avuto modo di sollevare nelle scorse settimane tramite un'inchiesta del Washington Post, ovvero che il programma di Bug Bounty di Apple soffre di parecchi problemi di comunicazione, trasparenza e reattività.

Sul tema Ivan Krstić, responsabile Security Engineering and Architecture per Apple, ha dichiarato: ""Stiamo pianificando di introdurre nuovi premi per i ricercatori, per continuare ad espandere la partecipazione al programma, e stiamo continuando a studiare percorsi per offrire strumenti di ricerca nuovi e migliori che soddisfino il nostro rigoroso modello di sicurezza della piattaforma leader del settore. Quando commettiamo errori lavoriamo sodo per correggerli rapidamente, e impariamo da essi per migliorare rapidamente il programma".

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Gringo [ITF]28 Settembre 2021, 19:01 #1
Non ci stava fretta di rispondere su un qualcosa che non può esistere è IOS mica BAU BAU MICIO MICIO....
Notturnia29 Settembre 2021, 00:55 #2
ha trovato una vulnerabilità che non passa per l'APP Store ma che se fosse nell'APP Store farebbe danni..

complimenti per la caparbietà.. ma capisco perchè Apple possa non aver avuto fretta..

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^