9 月初,安全研究員 Denis Tokarev 撰寫了一篇博文,其中無奈地吐槽了與蘋果漏洞賞金計劃的一些互動。事情源于通過 Bug Nounty Program 向蘋果提交的四個安全漏洞,然而等待許久之后,他發(fā)現只有一個得到了修復。最新消息是,蘋果已就此事給出了回應,聲稱其“仍在調查”相關問題。
Tokarev 在接受 Motherboard 采訪時稱,在早前推出的 iOS 15 更新中,其它三個漏洞未能得到及時修復。現在,蘋果方面已就延遲溝通致歉,并補充說明該公司正在調查相關問題。
我們已看到您有關該問題的博文和其它報告,并為過晚的回復而表示歉意。我們想讓您直到,我們仍在調查這些問題,以及我們是如何修復以保護客戶的。
再次感謝您抽出時間向我們報告這些問題,如有任何需要協(xié)助的地方,還請告知。
然而除了蘋果仍在修復的三個樓棟外,Tokarev 表示自己并沒有因為上報已修復的那個漏洞而受到贊揚。
據悉,未修補的三個漏洞中包括了一個缺陷,或導致 App Store 應用讀取包括 Apple ID、電子郵件地址、聯(lián)系人列表等在內的某些數據。
不過 Tokarev 也承認,其于 2021 年 3 月 10 日 - 5 月 4 日期間上報的這三個漏洞都沒有那么嚴重,因而能夠在一定程度上理解蘋果給它們安排的優(yōu)先級沒那么高。
最后,盡管蘋果宣稱漏洞賞金計劃“大獲成功”,但還是有至少一位網絡安全專家向 Motherboard 表示,蘋果對這類情況的處置有些反常。
另一位則表示,直到媒體曝光了維修部的漏洞之后,蘋果公司才專門拿出了點精力去回應 Tokarev 的質疑。
【來源:希恩貝塔】
