Apple Insider 报道称,苹果悄然修复了一个零日漏洞,以封堵 App 能够访问 iOS 15.0.2 中敏感信息的安全隐患。然而尽管 Denis Tokarev 早在 iOS 15.0.2 发布前七个月就发现了该漏洞,这家软件巨头还是未能郑重地将本次修复归功于这名开发者。上月,Tokarev 在一篇博文中详细介绍了自己与苹果漏洞赏金计划的糟糕互动体验。
苹果声称这些漏洞报告的价值高达 10 万美元
Bleeping Computer 报道指出,Tokarev 在 iOS 15.0.2 发布后及时联系了苹果,后者在回复中要求其对邮件交流内容保密,但最终他的某个漏洞报告未能得到官方的足够重视和认可回应。
作为一个严重的缺陷,该漏洞或允许通过 App Store 安装的应用程序,在未经授权的情况下访问敏感数据 —— 即便这些数据通常受到了安全沙箱或透明度、同意与控制保护措施的防护。
据悉,Tokarev 总共向苹果上报了四个漏洞。该公司在 iOS 14.7 中修复了其中一个、并于 iOS 15.0.2 中修复了第二个,但还是迟迟未能修补剩下的两个。
早在 9 月,苹果就声称公司已在调查相关漏洞,但这并不是首次有安全研究人员遭到 Apple 漏洞赏金计划的冷略。
上月的一份报告,就罗列了多条有关安全研究人员被忽视、不被认可、甚至未能拿到应有奖金的投诉。
然而就算是这样,苹果还是宣称其漏洞赏金计划取得了“巨大成功”(runaway success),使得该公司能够快速修复犯下的任何错误。
