Os pesquisadores de segurança terão que relatar publicamente as falhas do iOS antes de corrigi-las para que a Apple as leve a sério? Isso é indesejável porque as vulnerabilidades são detectadas sem um arquivo correção Não entregue anteriormente é um perigo real não só para a Apple, mas também e acima de tudo para os usuários.
Mas às vezes o construtor não dá outra escolha. Denis Tokarev, conhecido como “illusionofchaos”, anunciou na semana passada várias vulnerabilidades de segurança que afetam o iOS; Se um deles for corrigido no iOS 14.7, ainda existem mais três no iOS 15.
A Apple ainda faz um longo caminho para recompensar os pesquisadores de segurança
Tokarev alertou a Apple sobre essas três falhas entre 10 de março e 29 de abril. Ele recebeu um aviso de recebimento em agosto, depois nada. Em 13 de setembro, ele avisou que divulgará informações sobre essas vulnerabilidades, a menos que o fabricante retorne a ele.
A Apple respondeu … mas depois, depois espalhe palete Detectando as respectivas vulnerabilidades. ” Vimos sua postagem sobre o problema e seus outros relatórios. Lamentamos a demora em responder »Escreve um funcionário.
Em outras palavras, era necessário que o pesquisador corresse e fosse pego pela imprensa para que a Apple decidisse se reconectar. A propósito, isso nos lembra o que os desenvolvedores geralmente precisam fazer para obter explicações sobre uma decisão específica na App Store.
Independentemente disso, a Apple ainda está investigando as três falhas envolvidas e como elas podem ser corrigidas. Felizmente, essas não são fraquezas críticas; Para que seja explorado, um aplicativo malicioso deve ser instalado e somente a App Store pode distribuí-lo, não sem antes passar pela peneira da Apple.
La Pomme anunciou recentemente uma melhoria em seu software de caça a bugs e, acima de tudo, um trabalho aprofundado para ganhar o apoio de pesquisadores de segurança mais uma vez.
A Apple vai melhorar a recompensa de bugs para atrair pesquisadores de segurança menos motivados
