Exasperado por la reciente gestión de Apple de su programa de recompensas de seguridad, un investigador de ciberseguridad publicó un código de explotación de prueba de concepto (PoC) para tres vulnerabilidades de día cero en iOS 15.
El investigador, que solo es conocido por el seudónimo IllusionOfChaos, dijo que su acción fue en respuesta a la inacción de Apple para corregir las vulnerabilidades.
"Reporté cuatro vulnerabilidades de día 0 este año entre el 10 de marzo y el 4 de mayo, hasta ahora tres de ellas siguen presentes en la última versión de iOS (15.0) y una se corrigió en la 14.7, pero Apple ha decidido cubrirla y no listar en la página de contenido de seguridad ”, escribió el investigador.
LaComparacion нуждается в вас! Мы смотрим, как наши читатели используют VPN с потоковыми сайтами, такими как Netflix, чтобы мы могли улучшить наш контент и дать лучшие советы. Этот опрос займет не более 60 секунд вашего времени, и мы будем очень признательны, если вы поделитесь с нами своим опытом.
Нажмите здесь, чтобы запустить опрос в новом окне
El investigador agregó que si bien Apple inicialmente se disculpó por su respuesta, ni siquiera habían respondido a su correo electrónico cuando amenazó con compartir detalles de las vulnerabilidades dentro de diez días.
¿Atrapado en el papeleo?
En la publicación, el investigador dijo que en su correo electrónico inicial, Apple afirmó que la compañía no había reconocido públicamente las vulnerabilidades debido a un "problema de procesamiento".
“Cuando los confronté, se disculparon, me aseguraron que se debía a un problema de procesamiento y prometieron incluirlo en la página de contenido de seguridad para la próxima actualización. Ha habido tres lanzamientos desde entonces y han roto su promesa cada vez ”, compartió la investigadora.
IllusionofChaos luego le dio a Apple diez días para explicar el motivo del letargo continuo al corregir los errores, advirtiéndoles que los detalles se compartirán después de que expire el plazo. Como Apple no respondió, toda la investigación ahora se ha compartido en línea.
“Mi solicitud fue ignorada, así que hago lo que dije que haría. Mis acciones cumplen con las pautas de divulgación responsable (Google Project Zero revela las vulnerabilidades dentro de los 90 días de haberlas informado al proveedor, ZDI, dentro de los 120). Esperé mucho más, hasta seis meses en un caso ”, explica el investigador, compartiendo detalles de las vulnerabilidades, así como el código de explotación PoC para cada una de ellas.
Curiosamente, un desarrollador de jailbreak anónimo afirma haber solucionado las tres vulnerabilidades, apenas un día después de que fueron reveladas.
LaComparacion Pro se ha puesto en contacto con Apple para solicitar comentarios.