La scorsa settimana un ricercatore specializzato in sicurezza, tale Denis Tokarev, aveva riferito che Apple aveva ignorato sue segnalazioni nei mesi passati relative a vulnerabilità iOS, costringendo il ricercatore a rivelare tre vulnerabilità zero-day.
Tokarev ha ora riferito al sito Motherboard che Apple si è messa in contatto con lui dopo che quest’ultimo ha reso pubbliche le vulnerabilità e il clamore suscitato.
Apple ha inviato una mail al ricercatore, scusandosi per il ritardo con il quale si metteva in contatto, spiegando di stare ancora indagando sui problemi segnalati.
“Abbiamo visto il suo post sul blog in merito a questo problema e altri segnalati”, scrive Apple. “Ci scusiamo per il ritardo con il quale rispondiamo. Vogliamo farle sapere che stiamo ancora indagando su questi problemi e in che modo possiamo affrontarli per proteggere i clienti. Grazie ancora per avere speso del tempo per segnalarci questi problemi, apprezziamo il suo aiuto. Ci faccia per cortesia sapere se ha altre domande”.
Apple ha risolto una delle vulnerabilità segnalate in iOS 14.7 ma non ha ringraziato Tokarev nelle pagine di supporto con indicazioni sulle vulnerabilità identificate e risolte, come da prassi in questi casi. Tre vulnerabilità rimangono da risolvere, incluso un bug che riguarda il Game Center e che consentirebbe ad altre app di ottenere la mail dell’ID Apple, il nome, token di autenticazione dell’Apple ID, elenco dei contatti e accedere ad alcune tipologie di allegati.
Apple ha da tempo attivato un programma Bug Bounty, grazie al quale un individuo può ricevere riconoscimenti e ricompense in denaro per la segnalazione di bug, in particolar modo di quelli relativi ad exploit e vulnerabilità. Il programma Bug Bounty di Apple non sembra molto apprezzato da alcuni ricercatori che hanno segnalato lentezza nel risolvere i problemi segnalati ed evidenziato che Apple non sempre paga le ricompense promesse.
Ivan Krstić, capo della Security Engineering and Architecture di Apple, ha recentemente fatto sapere che Apple sta pensando di introdurre modifiche e nuove ricompense per i ricercatori per accrescere la partecipazione al programma Bug Bounty.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione di macitynet.
