Apple Insider 報(bào)道稱(chēng),蘋(píng)果悄然修復(fù)了一個(gè)零日漏洞,以封堵 App 能夠訪問(wèn) iOS 15.0.2 中敏感信息的安全隱患。然而盡管 Denis Tokarev 早在 iOS 15.0.2 發(fā)布前七個(gè)月就發(fā)現(xiàn)了該漏洞,這家軟件巨頭還是未能鄭重地將本次修復(fù)歸功于這名開(kāi)發(fā)者。上月,Tokarev 在一篇博文中詳細(xì)介紹了自己與蘋(píng)果漏洞賞金計(jì)劃的糟糕互動(dòng)體驗(yàn)。
蘋(píng)果聲稱(chēng)這些漏洞報(bào)告的價(jià)值高達(dá) 10 萬(wàn)美元
Bleeping Computer
報(bào)道指出,Tokarev 在 iOS 15.0.2 發(fā)布后及時(shí)聯(lián)系了蘋(píng)果,后者在回復(fù)中要求其對(duì)郵件交流內(nèi)容保密,但最終他的某個(gè)漏洞報(bào)告未能得到官方的足夠重視和認(rèn)可回應(yīng)。
作為一個(gè)嚴(yán)重的缺陷,該漏洞或允許通過(guò) App Store 安裝的應(yīng)用程序,在未經(jīng)授權(quán)的情況下訪問(wèn)敏感數(shù)據(jù) —— 即便這些數(shù)據(jù)通常受到了安全沙箱或透明度、同意與控制保護(hù)措施的防護(hù)。
據(jù)悉,Tokarev 總共向蘋(píng)果上報(bào)了四個(gè)漏洞。該公司在 iOS 14.7 中修復(fù)了其中一個(gè)、并于 iOS 15.0.2 中修復(fù)了第二個(gè),但還是遲遲未能修補(bǔ)剩下的兩個(gè)。
早在 9 月,蘋(píng)果就聲稱(chēng)公司已在調(diào)查相關(guān)漏洞,但這并不是首次有安全研究人員遭到 Apple 漏洞賞金計(jì)劃的冷略。
上月的一份報(bào)告,就羅列了多條有關(guān)安全研究人員被忽視、不被認(rèn)可、甚至未能拿到應(yīng)有獎(jiǎng)金的投訴。
然而就算是這樣,蘋(píng)果還是宣稱(chēng)其漏洞賞金計(jì)劃取得了“巨大成功”(runaway success),使得該公司能夠快速修復(fù)犯下的任何錯(cuò)誤。
【來(lái)源:希恩貝塔】
