Apple risponde alle accuse dei ricercatori sulla sicurezza di iOS 15

Apple risponde al ricercatore sulla sicurezza che ha trovato e segnalato al colosso di Cupertino molteplici falle zero-day in iOS 15

Redazione
apple

Vi abbiamo parlato delle vulnerabilità di sicurezza che affliggerebbero iOS 15 e che sarebbero state segnalate da un ricercatore ma ignorate da Apple.

Ebbene, il colosso di Cupertino avrebbe risposto allo sviluppatore noto come illusionofchaos, come riportato da Motherboard:

“Abbiamo visto il tuo post sul blog relativo a questo problema e agli altri tuoi rapporti. Ci scusiamo per il ritardo nel risponderti”, avrebbe scritto un dipendente Apple. “Vogliamo farti sapere che stiamo ancora indagando su questi problemi e su come possiamo affrontarli per proteggere i clienti. Grazie ancora per aver dedicato del tempo a segnalarci questi problemi, apprezziamo la tua assistenza. Per favore facci sapere se hai delle domande”.

Motherboard ha verificato la legittimità dell’e-mail inviata da Apple allo sviluppatore confermando che proveniva da un server di proprietà di Apple. Motherboard ha anche chiesto più feedback da parte della comunità infosec:

“Anche se sono contento che Apple sembri prendere questa particolare situazione più seriamente, una reazione così tardiva appare più come una risposta alla cattiva stampa che altro”, ha detto Nicholas Ptacek, un ricercatore che lavora per SecureMac, una società di sicurezza informatica che si concentra su computer Apple.

Nel frattempo, un altro veterano della sicurezza informatica ha dichiarato:

Il modo in cui Apple ha gestito l’intero processo, dato che il suo programma di bug bounty ha più di cinque anni, “non è normale e non dovrebbe essere considerato normale”, secondo Katie Moussouris, un’esperta di sicurezza informatica che ha essenzialmente inventato il concetto di bug bounty più di 10 anni fa mentre era in Microsoft.

Il ricercatore di sicurezza illusionofchaos, come vi avevamo riportato, ha condiviso la sua esperienza in un post sul blog sostenendo che Apple è a conoscenza e sta ignorando tre vulnerabilità zero-day da marzo.

Voglio condividere la frustrante esperienza che ho vissuto partecipando al programma Apple Security Bounty. Ho segnalato quattro vulnerabilità 0-day quest’anno tra il 10 marzo e il 4 maggio, al momento tre di esse sono ancora presenti nell’ultima versione iOS (15.0) e una è stata corretta nella 14.7, ma Apple ha deciso di coprirla e non elencarlo nella pagina dei contenuti di sicurezza. Quando li ho affrontati, si sono scusati, mi hanno assicurato che era successo a causa di un problema di elaborazione e hanno promesso di elencarlo nella pagina dei contenuti di sicurezza del prossimo aggiornamento. Ci sono state tre uscite da allora e ogni volta hanno infranto la loro promessa.

Federico Morgantini Editore
QR Code