Apple Insider 報道稱,蘋果悄然修復了一個零日漏洞,以封堵 App 能夠訪問 iOS 15.0.2 中敏感信息的安全隱患。然而儘管 Denis Tokarev 早在 iOS 15.0.2 發布前七個月就發現了該漏洞,這家軟件巨頭還是未能鄭重地將本次修復歸功於這名開發者。上月,Tokarev 在一篇博文中詳細介紹了自己與蘋果漏洞賞金計劃的糟糕互動體驗。
蘋果聲稱這些漏洞報告的價值高達 10 萬美元
Bleeping Computer 報道指出,Tokarev 在 iOS 15.0.2 發布后及時聯繫了蘋果,後者在回復中要求其對郵件交流內容保密,但最終他的某個漏洞報告未能得到官方的足夠重視和認可回應。
作為一個嚴重的缺陷,該漏洞或允許通過 App Store 安裝的應用程序,在未經授權的情況下訪問敏感數據 —— 即便這些數據通常受到了安全沙箱或透明度、同意與控制保護措施的防護。
據悉,Tokarev 總共向蘋果上報了四個漏洞。該公司在 iOS 14.7 中修復了其中一個、並於 iOS 15.0.2 中修復了第二個,但還是遲遲未能修補剩下的兩個。
早在 9 月,蘋果就聲稱公司已在調查相關漏洞,但這並不是首次有安全研究人員遭到 Apple 漏洞賞金計劃的冷略。
上月的一份報告,就羅列了多條有關安全研究人員被忽視、不被認可、甚至未能拿到應有獎金的投訴。
然而就算是這樣,蘋果還是宣稱其漏洞賞金計劃取得了“巨大成功”(runaway success),使得該公司能夠快速修復犯下的任何錯誤。
相關文章:
安全研究人員怒斥蘋果長期漠視iOS 15中仍然存在的三個零日漏洞
蘋果未能在iOS 15.0.1中修補已被公開披露的零日漏洞