Apple извинилась перед пользователем «Хабра» — он нашёл четыре уязвимости в iOS, но за полгода компания исправила одну Статьи редакции
Компания не выплатила вознаграждение, и пользователь решил опубликовать данные в открытом доступе.
- Исследователь безопасности Денис Токарев 24 сентября опубликовал подробную информацию о трёх уязвимостях iPhone, а также исходный код, который может воспроизводить и использовать их.
- По его словам, в период с 10 марта по 4 мая он сообщал об уязвимостях Apple. Компания отвечала, что получила его сообщения и начала расследование. Обнаружение уязвимостей в рамках программы Apple Security Bounty оценивается в размере $100 тысяч, но компания так и не выплатила Токареву вознаграждение.
- Только после того, как Токарев обнародовал данные об ошибках, Apple связалась с ним, пишет Vice. В письме компания извинилась за задержку ответа и сообщила, что продолжает расследовать уязвимость.
- Всего исследователь обнаружил четыре уязвимости. Одну из них Apple уже исправила, она давала доступ к медицинской информации и данным об использовании устройства. А остальные могли открыть доступ к полному имени, контактам и проверить, установлено ли то или иное приложение.
23
показа
26K
открытий
1
репост
И деньги не выплатит, сославшись на то, что уязвимости опубликовали в общий доступ…
Опубликовал он их, чтобы Apple, наконец, прореагировала — ровно так и получилось.
Из оригинального поста:
«В соответствии с responsible disclosure policy, Google Project Zero раскрывает уязвимости через 90 дней после уведомления вендора, ZDI — через 120, независимо от того, исправлена уязвимость или нет. Я же выждал намного больше (до полугода) и 10 дней назад предупредил Apple, о том, скоро буду вынужден публично раскрыть эти уязвимости. Ответа не последовало, поэтому я решил написать эту статью»
Не понятно только, причём тут Google и ZDI? На правила Apple видимо ссылаться было не практично? 🤣
У Apple нет правил относительно публичного раскрытия уязвимостей. Ссылка на Google Project Zero и ZDI по той причине, что это достаточно известные программы по которым авторы раскрывают публично уязвимость, если разработчик не выпустил патч в течение 90-120 дней. Это нормальная практика выждать какое-то время, и если ничего не произошло, то обнародовать детали. Автор выждал 180 дней, больше, чем это делают крупные игроки.
Researchers must:
Be the first party to report the issue to Apple Product Security.
Provide a clear report, which includes a working exploit (detailed below).
Not disclose the issue publicly before Apple releases the security advisory for the report. (Generally, the advisory is released along with the associated update to resolve the issue).
Что-то есть. 🤣
и где тут указан срок?
А если они никогда не выпустят фикс, как в случае из поста?
..Not disclose the issue publicly before Apple releases the security advisory for the report..
Или эппл должен делать как Гугл?🤣
P. S. Помните, что говорят про благие намерения?
Конечно нет, эпол должен вести себя как последний мудак, а фанаты должны поклоняться)
Срок Прокурор выпрашивает а Суд выносит - и БАМ, ты на нарах возле параши, доходчиво)