9 月初,安全研究員 Denis Tokarev 撰寫了一篇博文,其中無奈地吐槽了與蘋果漏洞賞金計劃的一些互動。事情源於通過 Bug Nounty Program 向蘋果提交的四個安全漏洞,然而等待許久之後,他發現只有一個得到了修復。最新消息是,蘋果已就此事給出了回應,聲稱其“仍在調查”相關問題。
Tokarev 在接受 Motherboard 採訪時稱,在早前推出的 iOS 15 更新中,其它三個漏洞未能得到及時修復。現在,蘋果方面已就延遲溝通致歉,並補充說明該公司正在調查相關問題。
我們已看到您有關該問題的博文和其它報告,並為過晚的回復而表示歉意。我們想讓您直到,我們仍在調查這些問題,以及我們是如何修復以保護客戶的。
再次感謝您抽出時間向我們報告這些問題,如有任何需要協助的地方,還請告知。
然而除了蘋果仍在修復的三個樓棟外,Tokarev 表示自己並沒有因為上報已修復的那個漏洞而受到讚揚。
據悉,未修補的三個漏洞中包括了一個缺陷,或導致 App Store 應用讀取包括 Apple ID、電子郵件地址、聯繫人列表等在內的某些數據。
不過 Tokarev 也承認,其於 2021 年 3 月 10 日 – 5 月 4 日期間上報的這三個漏洞都沒有那麼嚴重,因而能夠在一定程度上理解蘋果給它們安排的優先級沒那麼高。
最後,儘管蘋果宣稱漏洞賞金計劃“大獲成功”,但還是有至少一位網絡安全專家向 Motherboard 表示,蘋果對這類情況的處置有些反常。
另一位則表示,直到媒體曝光了維修部的漏洞之後,蘋果公司才專門拿出了點精力去回應 Tokarev 的質疑。
相關文章:
安全研究人員怒斥蘋果長期漠視iOS 15中仍然存在的三個零日漏洞