Apple извинилась перед пользователем «Хабра» — он нашёл четыре уязвимости в iOS, но за полгода компания исправила одну Статьи редакции

Компания не выплатила вознаграждение, и пользователь решил опубликовать данные в открытом доступе.

  • Исследователь безопасности Денис Токарев 24 сентября опубликовал подробную информацию о трёх уязвимостях iPhone, а также исходный код, который может воспроизводить и использовать их.
  • По его словам, в период с 10 марта по 4 мая он сообщал об уязвимостях Apple. Компания отвечала, что получила его сообщения и начала расследование. Обнаружение уязвимостей в рамках программы Apple Security Bounty оценивается в размере $100 тысяч, но компания так и не выплатила Токареву вознаграждение.
  • Только после того, как Токарев обнародовал данные об ошибках, Apple связалась с ним, пишет Vice. В письме компания извинилась за задержку ответа и сообщила, что продолжает расследовать уязвимость.
  • Всего исследователь обнаружил четыре уязвимости. Одну из них Apple уже исправила, она давала доступ к медицинской информации и данным об использовании устройства. А остальные могли открыть доступ к полному имени, контактам и проверить, установлено ли то или иное приложение.
0
71 комментарий
Написать комментарий...
Умный космос

Ну красавчик же - Денис Токарев. И неважно, что это Apple. За слова нужно отвечать при любом раскладе. Отдайте пацану его 400к $, негодяи, он их заработал, сделав, за Вас, Вашу же работу.

Ответить
Развернуть ветку
lotnomer

Судя по тому, что он нашел, назвать это уязвимостями нельзя. Полагаю, что яблочники дают бабло за уязвимости, дающие получить рута как максимум или хоть доступ к полному управление учеткой пользователя. 

Ответить
Развернуть ветку
11 комментариев
Pavel Ivanov

Лайкнул твой коммент, чтобы @Tim Cook прочитал его, когда в след.раз зайдёт на VC – он по утрам тут обычно за завтраком зависает.

Ответить
Развернуть ветку
Максим Морозов

за что деньги ? За то что он спалил 4 бекдора АНБ из которых только 1му смогли сделать замену.

Ответить
Развернуть ветку
2 комментария
Юсуф Алиев
Ответить
Развернуть ветку
MEGAtraXXXer666
Ответить
Развернуть ветку
1 комментарий
Грандиозный Макс

Как бы не признали «иностранным агентом» при получении.

Ответить
Развернуть ветку
4 комментария
Vladik Sokolov

И деньги не выплатит, сославшись на то, что уязвимости опубликовали в общий доступ…

Ответить
Развернуть ветку
Владимир Кулешов

«Денис, финдир уже вот буквально после обеда собирался подписать вашу платежку, но из-за публикации все аннулируем»

Ответить
Развернуть ветку
Denis Bystruev

Опубликовал он их, чтобы Apple, наконец, прореагировала — ровно так и получилось.

Из оригинального поста:

«В соответствии с responsible disclosure policy, Google Project Zero раскрывает уязвимости через 90 дней после уведомления вендора, ZDI — через 120, независимо от того, исправлена уязвимость или нет. Я же выждал намного больше (до полугода) и 10 дней назад предупредил Apple, о том, скоро буду вынужден публично раскрыть эти уязвимости. Ответа не последовало, поэтому я решил написать эту статью»

Ответить
Развернуть ветку
8 комментариев
Feliks Polov

Как вариант, могут сказать, что найденные уязвимости вовсе не "уязвимости".
Думаю, найдут на что сослаться, чтобы заплатить меньше или не платить совсем 

Ответить
Развернуть ветку
Arty Cool

В следующий раз кто-то продаст уязвимости более платежеспособным людям. 

Ответить
Развернуть ветку
Андрей Кустов

Судя по описанию - много за такое не дадут

Ответить
Развернуть ветку
1 комментарий
Misha Zakarin

Мир в очередной раз обнаружил главную уязвимость Apple — жадность

Ответить
Развернуть ветку
Yasin Chakmak

Все техно-гиганты жадные, просто apple стал наглее)

Ответить
Развернуть ветку
Hassan Dakh

Возможно Эппл их оставила для своих целей и продажи бэкдора для партнёров, а тут с Хабра тип их находить )))

Ответить
Развернуть ветку
Ivan Tischenko

После прочтения такое ощущение как будто меня нае*али, ажтрисет

Ответить
Развернуть ветку
Станислав Суняйкин

Так бабки выплатила или нет ?

Ответить
Развернуть ветку
Семен Басов

По ходу, теперь выплатят, а парень, и правда, красавчик! Не понимаю, почему Эпл так затянули и не реагировали как положено на письма.

Ответить
Развернуть ветку
5 комментариев
ioc ioc

Если выплатят, я сообщу. Но шансы близки к нулю. Если бы у меня была уверенность, что рано или поздно мне заплатят, я бы не стал вообще что-либо публиковать

Ответить
Развернуть ветку
Vitalii Vorobiov

Если бы выплатили, об этом был бы заголовок 

Ответить
Развернуть ветку
Александр Мешулин

Извинения на хлеб не намажешь, как говорится. Это все слова и пустая болтовня со стороны яблочников. Где реальные дела? 

Ответить
Развернуть ветку
Зубная паста

немного не в тему, но вопрос из реальности:

а эти bug bounty выплаты будут проходить как нарушение 113-ФЗ ?)
почему про это никто никогда не напишет?

вот как 100к баксов получить на карту сбера например?) как такие вопросы решаются

Ответить
Развернуть ветку
Даниил Кузовкин

Скорее всего подписывается договор об оказании услуг \ консалтинге в рамках которого выплачивается вознаграждение. Эппл тоже не может "просто так" отправить 100к на какой то счет и списать это в расходы - в бухгалтерии с их стороны тоже должно быть основание такого платежа.

Обладая договором и внятной причиной платежа не вижу причин почему 100к не могу придти на счет в условный сбер или любой другой банк.

Ответить
Развернуть ветку
ioc ioc

Для получения выплат нужен аккаунт разработчика, Apple на него закидывает деньги, соответственно выплаты ничем не отличаются от выплат продаж в App Store, можно получать сразу на рублевый счет, минуя валютный контроль

Ответить
Развернуть ветку
Анатолий Никифоренко

так такие деньги не в сбербанк приходят)

Ответить
Развернуть ветку
5 комментариев

Комментарий удален модератором

Развернуть ветку
Владимир Петров

.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Komorebi

Как тут любят писать - видимо у него просто телефон на андроид.

Ответить
Развернуть ветку
Anatolii Manko

знаем для чего Apple оставляет уязвимости и передаём привет спец.агенту Джонсу который читает наши сообщения :)

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
ioc ioc

Если бы они мое письмо с вопросами "просто потерялось", тогда в письме, которое они прислали в ответ на него, содержались бы ответы. А раз они продолжают игнорировать мои вопросы, это еще один показатель того, что меня просто решили кинуть, и никаких выплат бы не было в любом случае. Я не первый, с кем они так поступают. Но обычно люди до последнего надеются, что получат деньги, поэтому молчат и публикуют гневные посты, только когда в итоге получают официальный отказ или прождав несколько лет и так и не получив ответа. Но их посты не наносят достаточного ущерба репутации Apple, потому что уязвимости давно исправлены, и юзерам все равно.

Ответить
Развернуть ветку
1 комментарий

Комментарий удален модератором

Развернуть ветку
Валера Смирнов

У них времени нет, надо новые айфоны пилить

Ответить
Развернуть ветку
vernon2001

Так тема известная - вон пишут что всего 32% от найденных уязвимостей они исправляют регулярно, остальное как повезет - https://securitymedia.org/news/eksperty-ustanovili-kak-chasto-razrabotchiki-publikuyut-uyazvimyy-kod.html

Ответить
Развернуть ветку
Читать все 71 комментарий
null