Un ingeniero de iOS dice que se siente “robado” por Appleel programa Security Bounty de después de no recibir el pago por una vulnerabilidad que él cree que se ajusta a sus pautas.
Nicolas Brunner, ingeniero de iOS en Swiss Federal Railways, escribió sobre su experiencia con el programa de recompensas en una publicación de Medium el lunes. Según Brunner, había descubierto una vulnerabilidad explotable en iOS 13 en marzo de 2020.
La vulnerabilidad habría permitido que una aplicación recopilara permanentemente los datos de ubicación de un usuario sin su consentimiento. Brunner dice que descubrió la falla mientras trabajaba en un proyecto de iOS.
“Esto me pareció un tema crítico, especialmente con Applese ha centrado en la privacidad en los últimos años”, escribió Brunner.
Brunner escribió una aplicación de demostración y la envió a Appleprograma de recompensas. La falla en realidad se solucionó en iOS 14y Apple acreditó a Brunner en sus notas de lanzamiento de seguridad. A pesar de eso, Brunner dijo que no recibió ningún pago por la vulnerabilidad.
El desarrollador se comunicó con Appleequipo de seguridad de durante ocho meses y, en última instancia, dice Brunner Apple envió ningún pago. Además, en el último correo electrónico que envió la empresa, Apple supuestamente dijo que el problema no calificaba para una recompensa de seguridad porque no demostraba ninguna de las categorías enumeradas en las pautas del programa.
Brunner no está de acuerdo con esa evaluación y señala que Apple enumera el acceso a “datos de ubicación precisos” que normalmente estarían protegidos por un aviso como una vulnerabilidad que califica para una recompensa.
“Para ser franco: en este momento, me siento robado”, escribió Brunner. “Sin embargo, todavía espero que el programa de seguridad resulte ser una situación beneficiosa para ambas partes”.
El gigante tecnológico de Cupertino ha pagado recompensas por vulnerabilidades de alto perfil en el pasado, incluida una recompensa de $ 100,000 por iniciar sesión con Apple bicho.
