חוקר אבטחה: דיווחתי לאפל על פגיעויות – והיא התעלמה ממני

חוקר האבטחה, שמכונה Illusionofchaos, טען שקבוצה שבה הוא חבר דיווחה לחברה על ארבע פגיעויות ב-iOS – והיא תיקנה רק אחת מהן, בעוד שמשלוש האחרות היא התעלמה ● לדבריו, אפל לא שילמה לו על הפגיעות שתוקנה – על אף שהיא מתחייבת לכך

תיקונים ועדכונים. אפל. צילום: BigStock

אפל, כך טוען חוקר אבטחה, התעלמה מדיווח של קבוצה שבה הוא פועל לגבי שלוש פגיעויות במערכת ההפעלה שלה, iOS. לדברי החוקר, הקבוצה דיווחה לאפל על הפגיעויות לפי כחצי שנה, והן עדיין שרירות וקיימות, גם בגרסה החדשה של מערכת ההפעלה, iOS 15. לעומת זאת, הוא ציין שפגיעות רביעית שעליה הם דיווחו תוקנה ב-iOS 14.7 – מבלי לתת לקבוצה קרדיט. כמו כן, לדבריו, אפל הסתירה את התיקון, ובעקבות כך גם לא העבירה את התשלום שהיא מבטיחה לחוקרי אבטחה עבור גילוי של פגיעויות קריטיות במערכות ההפעלה שלה.

בפוסט ארוך שהעלה לרשת מציין חוקר האבטחה, שמכונה Illusionofchaos, שהוא מרגיש מתוסכל מההתנהלות של תוכנית הפרסים של אפל, ושהוא לא היחיד שמרגיש כך. הוא מספר שלאחר שהתברר לו שגילוי שלו הוביל לתיקון בגרסה 14.7 הבטיחה החברה לציין זאת בהמשך, אך נמנעה מלעשות זאת גם בגרסאות הבאות.

לדברי החוקר, הוא פנה לאפל לפני כשבוע והודיע לה שאם היא לא תספר לציבור על הממצאים שלו ושל הקבוצה ותדאג לתיקונם, הוא יפרסם אותם באופן ציבורי – וזה מה שהוא עשה בבלוג כעת.

אחת מאותן פגיעויות מתייחסת למרכז המשחקים, ולטענתו, היא מאפשרת לכל אפליקציה שמתקינים בטלפון מ-App Store לגשת לפרטים מסוימים של המשתמש, כמו כתובת המייל שבה הוא משתמש במינוי, אסימון (טוקן) שמאפשר גישה לפחות לאחת מתחנות הקצה של המשתמש בשמו, גישה למערכת הקבצים המלאה של בסיס הנתונים של החיוג המהיר ושל הכתובת, ועוד.

החוקר אף השאיר גישה לקבצי הרצה שיודעים להשתמש בארבע הפגיעויות הללו, כולל זו שהוא מכנה Analyticsd, שלדבריו תוקנה ב-iOS 14.7. פגיעות זו יכולה לגשת לרישומים של כלי ניתוח שונים, שכוללים מגוון של פריטי מידע, כולל מידע רפואי.

אפל טרם הגיבה להאשמות של החוקר.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר.

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים