Apple pranon se iOS 15 ka të meta të pakapshme të sigurisë në iPhone
Kohët e fundit, një studiues i sigurisë i quajtur Denis Tokarev mori Apple në detyrë për të injoruar paralajmërimet e tij për një grusht të metash të sigurisë në iPhone. Tokarev raportoi katër dobësi të veçanta të sigurisë zero ditore tek Apple. Sidoqoftë, vetëm njëra prej tyre u adresua me azhurnimin e iOS 15. Tokarev […]
Foto: Ilustrim
Kohët e fundit, një studiues i sigurisë i quajtur Denis Tokarev mori Apple në detyrë për të injoruar paralajmërimet e tij për një grusht të metash të sigurisë në iPhone. Tokarev raportoi katër dobësi të veçanta të sigurisë zero ditore tek Apple. Sidoqoftë, vetëm njëra prej tyre u adresua me azhurnimin e iOS 15. Tokarev u frustrua aq shumë nga mungesa e komunikimit të Apple, saqë përfundoi duke publikuar shfrytëzimet e sigurisë publikisht.
Mungesa e komunikimit të Apple në lidhje me sigurinë e iPhone
Duke filluar në mars, Tokarev zbuloi katër dobësi ditore zero në lidhje me iPhone. Në mars dhe prill, Tokarev ia transmetoi këto dobësi Apple -it përmes programit Bug Bounty të kompanisë.
Nga atje, gjërat bëhen pak të errëta. Gjatë gjashtë muajve të ardhshëm, komunikimi i Apple me Tokarev ishte minimal. Në fakt, Apple së fundmi ka korresponduar me Tokarev për shfrytëzimet në gusht. Për më tepër, asnjë nga katër gabimet nuk ishte adresuar në gjashtë muajt që kur Tokarev i solli në vëmendjen e Apple. Natyrisht, Tokarev u zhgënjye.
Dhe kështu, Tokarev në fillim të shtatorit i tha Apple se do të publikonte detaje të shfrytëzimeve nëse nuk do të dëgjonte përgjigje. Dhe këtë ai e bëri.
Apple i kërkon falje studiuesit të sigurisë
Pasi shfrytëzimet e sigurisë së iPhone u bënë publike, Apple filloi të grumbullojë një shtyp të keq. Dhe, si sahati, kompania më në fund e trajtoi çështjen dhe i kërkoi falje Tokarev.
Emaili i Apple drejtuar Tokarev, përmes Motherboard, lexon:
“Ju kërkojmë ndjesë për vonesën në përgjigjen ndaj jush. Ne duam t’ju bëjmë të ditur se ne jemi ende duke hetuar këto çështje dhe se si mund t’i adresojmë ato për të mbrojtur klientët. Faleminderit përsëri që keni gjetur kohë për të na raportuar këto çështje, ne e vlerësojmë ndihmën tuaj. Ju lutemi na tregoni nëse keni ndonjë pyetje.”
A ishin shfrytëzimet e iPhone serioze?
Kjo është një pyetje interesante. Veçanërisht, edhe Tokarev pranon se dobësitë e sigurisë së iPhone nuk ishin kritike. Në të vërtetë, shfrytëzimet do të hynin në lojë vetëm në një skenar teorik, ku një aplikacion me qëllim të keq arriti të hyjë në App Store dhe iPhone të njerëzve.
Pavarësisht nga kjo, çështja kryesore këtu nuk është ashpërsia e dobësive, por mungesa e plotë e komunikimit e Apple.
Programi Apple Bug Bounty
Rastësisht, The Washington Post disa javë më parë publikoi një vështrim jo lajkatues në programin e Apple Bug Bounty. Disa studiues të sigurisë së iPhone, për shembull, thanë se Apple nuk paguan gjithmonë atë që i detyrohet për dobësitë e zbuluara. Për më tepër, disa studiues të sigurisë thanë se Apple është e tmerrshme në mbajtjen e linjave të hapura të komunikimit me ta. Disa punonjës të Apple pretendojnë se ka një numër të madh të defekteve që Apple nuk ka pasur ende kohë për t’i adresuar.
“Duhet të kesh një mekanizëm të shëndetshëm të brendshëm për rregullimin e gabimeve para se të përpiqesh të kesh një program të zbulimit të dobësive të shëndetshme të gabimeve,” tha CEO i Luta Security Katie Moussouris për Post. “Çfarë prisni që do të ndodhë nëse ata raportojnë një defekt që ju tashmë e keni ditur, por nuk e keni rregulluar? Apo nëse ata raportojnë diçka që ju merr 500 ditë për ta rregulluar? “
Nëse Apple nuk përmirëson mënyrën se si drejton programin e saj Bug Bounty, studiuesit e sigurisë së iPhone thjesht mund të përqendrojnë vëmendjen e tyre diku tjetër. Për më tepër, programet rivale të bug buight nga Facebook dhe Google tashmë paguajnë më shumë para sesa ato që ofron Apple.
Postimi në blog i Tokarev në lidhje me përvojën e tij në trajtimin e Apple është në dispozicion këtu. Vlen të lexohet dhe ndihmon të tregohet se sa dobët ekipi i sigurisë i Apple trajtoi korrespondencën me të.
