Apple извинилась перед пользователем «Хабра» — он нашёл четыре уязвимости в iOS, но за полгода компания исправила одну Статьи редакции
Компания не выплатила вознаграждение, и пользователь решил опубликовать данные в открытом доступе.
- Исследователь безопасности Денис Токарев 24 сентября опубликовал подробную информацию о трёх уязвимостях iPhone, а также исходный код, который может воспроизводить и использовать их.
- По его словам, в период с 10 марта по 4 мая он сообщал об уязвимостях Apple. Компания отвечала, что получила его сообщения и начала расследование. Обнаружение уязвимостей в рамках программы Apple Security Bounty оценивается в размере $100 тысяч, но компания так и не выплатила Токареву вознаграждение.
- Только после того, как Токарев обнародовал данные об ошибках, Apple связалась с ним, пишет Vice. В письме компания извинилась за задержку ответа и сообщила, что продолжает расследовать уязвимость.
- Всего исследователь обнаружил четыре уязвимости. Одну из них Apple уже исправила, она давала доступ к медицинской информации и данным об использовании устройства. А остальные могли открыть доступ к полному имени, контактам и проверить, установлено ли то или иное приложение.
23
показа
26K
открытий
1
репост
И деньги не выплатит, сославшись на то, что уязвимости опубликовали в общий доступ…
Опубликовал он их, чтобы Apple, наконец, прореагировала — ровно так и получилось.
Из оригинального поста:
«В соответствии с responsible disclosure policy, Google Project Zero раскрывает уязвимости через 90 дней после уведомления вендора, ZDI — через 120, независимо от того, исправлена уязвимость или нет. Я же выждал намного больше (до полугода) и 10 дней назад предупредил Apple, о том, скоро буду вынужден публично раскрыть эти уязвимости. Ответа не последовало, поэтому я решил написать эту статью»
Не понятно только, причём тут Google и ZDI? На правила Apple видимо ссылаться было не практично? 🤣
Так у Apple только одно правило - Apple не виноват, вы просто неправильно его держите 😂