Ένας ερευνητής ασφαλείας αποκάλυψε δημόσια πως έχει ανακαλύψει τρεις zero-day ευπάθειες στο νέο iOS 15 και κατηγόρησε την Apple πως την είχε ενημερώσει εδώ και καιρό, αλλά η εταιρία δεν έλαβε κανένα μέτρο. Φαίνεται όμως πως η δημοσιότητα που πήρε το θέμα ανάγκασε την Apple να απαντήσει.
Με email που έστειλε η Apple στον ερευνητή, Denis Tokarev, ζήτησε συγγνώμη για την καθυστέρηση στην επικοινωνία και τον καθησύχασε πως ερευνά τα θέματα που έφερε ο ίδιος στο φως.
“Είδαμε το blog post σου σχετικά με το θέμα και άλλες αναφορές σου. Ζητάμε συγγνώμη για την καθυστερημένη μας απάντηση. Θέλουμε να σε ενημερώσουμε πως ακόμα ερευνούμε τα θέματα και πώς μπορούμε να τα αντιμετωπίσουμε για να προστατέψουμε τους πελάτες. Σε ευχαριστούμε και πάλι που αφιέρωσες χρόνο για να αναφέρεις αυτά τα θέματα σε εμάς και εκτιμούμε τη βοήθειά σου. Παρακαλούμε ενημέρωσέ μας αν έχεις τυχόν ερωτήσεις.”
Ωστόσο η κοινότητα των ερευνητών δεν αισθάνεται πως η απάντηση της Apple είναι επαρκής, ειδικότερα επειδή το bug bounty πρόγραμμά τους μετράει ήδη πέντε χρόνια λειτουργίας.
Τα bug bounties και τα προγράμματα αποκάλυψης ευπαθειών είναι σαν ένας κήπος. Πρέπει να τον διατηρείς, να ξεριζώνεις τα αγριόχορτα. Πρέπει να ξεφορτωθείς περιττές καθυστερήσεις στη διαδικασία σου, επειδή είναι σαν τα αγριόχορτα, καταναλώνουν χρόνο και πόρους. Πολλοί νομίζουν πως το bug bounty πρόγραμμα της Apple είναι το υγιέστερο όλων αφού προσφέρουν ένα εκατομμύριο δολάρια ως το κορυφαίο βραβείο. Αλλά σίγουρα δεν είναι έτσι η κατάσταση. – Katie Moussouris, ειδικός κυβερνοασφάλειας που εργάστηκε στη Microsoft