La semana pasada, el investigador de seguridad Denis Tokarev hizo públicas varias vulnerabilidades de iOS de día cero después de decir que Apple había ignorado sus informes y no había solucionado los problemas durante varios meses.
Tokarev le dijo hoy a Motherboard que Apple se puso en contacto después de que él hizo públicas sus quejas y después de que vieron una atención significativa de los medios. En un correo electrónico, Apple se disculpó por la demora en el contacto y dijo que “todavía está investigando” los problemas.
“Vimos la publicación de su blog sobre este tema y sus otros informes. Nos disculpamos por la demora en responderle”, escribió un empleado de Apple. “Queremos informarle que todavía estamos investigando estos problemas y cómo podemos abordarlos para proteger a los clientes. Gracias nuevamente por tomarse el tiempo para informarnos estos problemas. Agradecemos su ayuda. Háganos saber si ha alguna pregunta.”
Apple solucionó una de las vulnerabilidades en iOS 14.7, pero no le dio crédito a Tokarev. Otros tres permanecen sin resolver, incluido un error de Game Center que supuestamente permite que cualquier aplicación instalada desde la App Store acceda al correo electrónico y al nombre completos de ID de Apple, tokens de autenticación de Apple ID, listas de contactos y algunos archivos adjuntos.
Tokarev ha publicado públicamente detalles sobre todas las vulnerabilidades de día cero, lo que puede hacer que Apple las solucione más rápido.
Tokarev se puso en contacto por primera vez con Apple sobre estos errores entre el 10 de marzo y el 4 de mayo, por lo que Apple ha tenido meses para emitir parches, pero vale la pena señalar que varios investigadores de seguridad y el propio Tokarev han confirmado que los errores no son muy críticos, ya que explotarlos requeriría un software malicioso. aplicación para recibir primero la aprobación de App Store.
Aún así, los expertos han criticado la respuesta de Apple y su programa de recompensas por errores. La experta en ciberseguridad Katie Moussouris le dijo a Motherboard que el manejo del proceso por parte de Apple “no es normal y no debe considerarse normal”, mientras que el investigador Nicholas Ptacek dijo que la respuesta de Apple se presenta como una “reacción a la mala prensa”.
A principios de este mes, The Washington Post entrevistó a más de dos docenas de investigadores de seguridad para exponer las fallas en el programa de recompensas por errores de Apple. Los investigadores dijeron que Apple es lento para corregir errores y no siempre paga lo que se debe, lo que lleva a los investigadores a estar descontentos con el programa de Apple.
En ese momento, el Jefe de Ingeniería y Arquitectura de Seguridad de Apple, Ivan Krstić, dijo que Apple está “planeando introducir nuevas recompensas para los investigadores” para expandir la participación, y que Apple está trabajando para ofrecer nuevas y mejores herramientas de investigación.
Image – macrumors