Exaspéré par la gestion récente par Apple de son programme de primes de sécurité, un la cyber-sécurité chercheur a publié un code d’exploitation de preuve de concept (PoC) pour trois vulnérabilités zero-day dans iOS 15.
Le chercheur, qui n’est connu que sous le pseudonyme IllusionOfChaos, a déclaré que son action était en réponse à l’inaction d’Apple pour corriger les vulnérabilités.
« J’ai signalé quatre vulnérabilités 0-day cette année entre le 10 mars et le 4 mai, à ce jour, trois d’entre elles sont toujours présentes dans la dernière version iOS (15.0) et une a été corrigée dans 14.7, mais Apple a décidé de la couvrir. et ne pas le lister sur la page de contenu de sécurité », a écrit le chercheur.
Nous examinons comment nos lecteurs utilisent les VPN avec des sites de streaming comme Netflix afin que nous puissions améliorer notre contenu et offrir de meilleurs conseils. Cette enquête ne prendra pas plus de 60 secondes de votre temps, et nous apprécierions énormément que vous partagiez vos expériences avec nous.
>> Cliquez ici pour lancer le sondage dans une nouvelle fenêtre <
Le chercheur a ajouté que si Apple s’était initialement excusé pour sa réponse, ils n’avaient même pas répondu à son e-mail par la suite lorsqu’il avait menacé de partager des détails sur les vulnérabilités dans les dix jours.
Sommaire
Pris dans la paperasse ?
Dans le message, le chercheur a déclaré que dans son e-mail initial, Apple affirmait que la société n’avait pas reconnu publiquement les vulnérabilités en raison d’un « problème de traitement ».
« Lorsque je les ai confrontés, ils se sont excusés, m’ont assuré que cela était dû à un problème de traitement et ont promis de le répertorier sur la page de contenu de sécurité de la prochaine mise à jour. Il y a eu trois sorties depuis et ils ont rompu leur promesse à chaque fois », a partagé le chercheur.
IllusionofChaos a ensuite donné dix jours à Apple pour expliquer la raison de la léthargie persistante dans la correction des bogues, les avertissant que les détails seront partagés après l’expiration du délai. Comme Apple n’a pas répondu, toutes les recherches ont maintenant été partagées en ligne.
« Ma demande a été ignorée, alors je fais ce que j’ai dit que je ferais. Mes actions sont conformes aux directives de divulgation responsable (Google Project Zero divulgue les vulnérabilités dans les 90 jours après les avoir signalées au fournisseur, ZDI – dans 120). J’ai attendu beaucoup plus longtemps, jusqu’à six mois dans un cas », explique le chercheur en partageant les détails des vulnérabilités ainsi que le code d’exploitation PoC pour chacune d’entre elles.
Fait intéressant, un développeur de jailbreak anonyme prétend avoir fixé les trois vulnérabilités, à peine un jour après leur divulgation.
TechRadar Pro a contacté Apple pour un commentaire.
