Hónapokig figyelmen kívül hagyta az Apple egy biztonsági kutató jelzéseit, és csak akkor figyelt fel igazán az esetre, amikor a tényeket már a tech-sajtó is felkapta.
Ha egy lelkiismeretes biztonsági kutató valamilyen sebezhetőséget talál egy hardverben vagy egy szoftverben, akkor azt nem hozza nyilvánosságra, hanem előbb értesíti a fejlesztőt, időt hagyva neki, hogy javítson a problémán (ez amúgy a bug bounty programok lényege). Így tett Denis Tokarev is, aki néhány nullanapos iOS-sebezhetőségre derített fényt, majd jelentette az Apple-nek, azonban itt megállt a történet.
Tokarev beszámolója szerint március 4. és május 4. között négy biztonsági rést jelentett be, amelyből három még mindig jelen van az iOS 15-ben. Egyet ugyan javítottak az iOS 14.7-ben, viszont „elfelejtették” megemlíteni a javítást a biztonsági frissítéseket tartalmazó oldalon.
A kutató ezt jelezte az Apple-nek, a vállalat feldolgozási problémára hivatkozott, és megígérte az intézkedést. Azóta már három frissítés is történt, de nem az, amit a kutatónak ígértek. Ezért figyelmeztette az Apple-t, hogy nyilvánosságra fogja hozni a hibákat, de mivel ezután sem történt valójában semmi, így is tett. A közzétett hibarészletek és forráskódok sajnos egyszerűvé teszik a biztonsági rések kihasználását, viszont a kutatót is meg lehet érteni, akinek elege lett abból, hogy az Apple egyszerűen semmibe veszi.
A techsajtó természetesen felkapta a történteket, és ezután már az Apple is reagált – osztotta meg a hírt a kutató a Motherboarddal. Állítólag egy e-mailben kértek elnézést, és arról tájékoztatták a szakembert, hogy továbbra is vizsgálják a problémákat és azt, hogyan tudják ezeket kezelni ügyfeleik védelme érdekében. Még meg is köszönték a segítséget. „Bár üdvözlendő, hogy az Apple végre komolyan veszi ezt a helyzetet, úgy tűnik, sokkal inkább a rossz sajtóra, mint másra reagál” – véli Nicholas Ptacek, az Apple komputerekre fókuszáló biztonsági cég, a SecureMac munkatársa.
Szerencsére a felfedezett sebezhetőségek nem túl kritikusak, mivel azokat csak egy rosszindulatú alkalmazás használhatja ki, amelynek fel kell jutnia az App Store-ba, majd a felhasználók eszközeire. „De ahogy az Apple kezelte ezt az egész folyamatot, tekintettel arra, hogy hibajavítási programja több mint öt éves, nem tekinthető normálisnak” – mondta Katie Moussouris, a kiberbiztonsági szakértő, aki lényegében kitalálta a bug bounty programok koncepcióját több mint 10 éve, amikor a Microsoftnál dolgozott. Mindenesetre most, hogy a sebezhetőségek nyilvánosságra kerültek, minden bizonnyal igen gyorsan javítja majd őket az Apple.
Tokarev tehát a legújabb szereplő az Apple bug bounty programjában csalódott biztonsági kutatók hosszú listáján. Sokan panaszkodtak az elmúlt években a késedelmes válaszok és a túl kicsinek tartott jutalmak miatt. Másfelől a technológiai óriás azt mondta, hogy tavaly 3,7 millió dollárt fizetett ki, és több kutató megerősítette, hogy jelentős összegeket kapott a vállalattól.
Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.