Apple informes ignorados de tres grandes problemas de seguridad en iOS 15, dice el investigador

Un investigador de seguridad afirma que Apple los rechazó en una falla de día cero que informaron, y que la compañía aún tiene que corregir otras tres vulnerabilidades de día cero que ahora están presentes en iOS 15.

En una publicación de blog el viernes, el investigador de seguridad illusionofchaos escribió sobre su “experiencia frustrante al participar en el Apple Programa Security Bounty “. El programa está destinado a ofrecer pagos a investigadores independientes por encontrar fallas en Applesistemas de.

  

El investigador dice que enviaron cuatro vulnerabilidades de día cero a Apple entre el 10 de marzo y mayo 4. Una de esas vulnerabilidades fue parcheada en iOS. 14.7, pero el investigador dijo Apple “decidió taparlo y no incluirlo en la página de contenido de seguridad”.

“Cuando los confronté, se disculparon, me aseguraron que sucedió debido a un problema de procesamiento y prometieron incluirlo en la página de contenido de seguridad de la próxima actualización”, escribió illusionofchaos. “Hubo tres lanzamientos desde entonces y rompieron su promesa cada vez”.

Además, tres de las otras fallas de seguridad todavía están presentes en la versión lanzada de iOS. 15. El investigador dijo Apple ha ignorado la divulgación de las fallas de iOS.

“Hace diez días pedí una explicación y advertí entonces que haría pública mi investigación si no recibía una explicación”, dijo illusionofchaos. “Mi solicitud fue ignorada, así que estoy haciendo lo que dije que haría. Mis acciones están de acuerdo con las pautas de divulgación responsable”.

Las tres vulnerabilidades incluyen una falla que permite que las aplicaciones descargadas de la App Store de iOS lean datos como Apple ID credenciales e información sobre los contactos de un usuario. Otra falla permite que cualquier aplicación verifique si alguna otra aplicación está instalada en un dispositivo, mientras que la tercera permite que las aplicaciones con permisos de servicios de ubicación obtengan acceso a la información de Wi-Fi.

Esta no es la primera vez que un investigador de seguridad expresa preocupaciones sobre ApplePrograma de recompensas de seguridad. A principios de septiembre, un informe recopiló una gran cantidad de quejas sobre la iniciativa, incluidos investigadores que denunciaron mala comunicación, confusión en los pagos y otros problemas.

Apple revisó por primera vez su programa de recompensas en 2019, lo abrió a cualquier investigador de seguridad y aumentó los pagos. Desde entonces, Apple ha calificado el programa de “un gran éxito”.

El mismo informe que recopila las quejas de los investigadores también indicó que Apple ha contratado a un nuevo ejecutivo para supervisar y reformar su programa de recompensas por errores.