Apple corrige une faille zero-day dans iOS 15, mais sans créditer le chercheur au franc-parler

Le mois dernier, le chercheur en sécurité Denis Tokarev, alias illusionofchaos, a partagé son expérience de rapporter trois vulnérabilités iOS zero-day à Apple avec des critiques spécifiques sur la lenteur de l’entreprise à réagir, à agir et ne lui a pas attribué de crédit pour l’un des trois défauts. qui ont été patchés. Il semble maintenant qu’Apple ait corrigé une autre faille zero-day, celle-ci dans iOS 15 que Tokarev a trouvée plus tôt cette année, sans lui donner de crédit.

En septembre, Tokarev a déclaré qu’après avoir attendu jusqu’à six mois après avoir signalé certaines des vulnérabilités à Apple, il avait décidé de rendre publiques les informations.

Il y a dix jours, j’ai demandé une explication et j’ai prévenu que je rendrais mes recherches publiques si je ne reçois pas d’explication. Ma demande a été ignorée donc je fais ce que j’ai dit que je ferais. Mes actions sont conformes aux directives de divulgation responsable (Google Project Zero divulgue les vulnérabilités dans les 90 jours après les avoir signalées au fournisseur, ZDI – dans 120). J’ai attendu beaucoup plus longtemps, jusqu’à six mois dans un cas.

Fin septembre, Tokarev a déclaré avoir reçu une réponse d’Apple indiquant qu’ils travaillaient toujours sur les « problèmes » et s’excusait pour le retard.

Dans son article de blog de septembre, Tokarev a détaillé une faille de jeu zéro jour (l’une des trois) qui permettrait à toute application installée à partir de l’App Store d’accéder aux données personnelles des utilisateurs telles que l’e-mail et le nom complet de l’identifiant Apple, le jeton d’authentification Apple ID, système de fichiers complet accès en lecture à la base de données Core Duet, et plus encore.

Maintenant, Tokarev dit qu’Apple a corrigé le jeu zero-day qu’il a découvert dans la mise à jour de sécurité iOS 15.0.2 sans le créditer (via BleepingComputer).

Après que la première faille zero-day que Tokarev ait découverte et signalée à Apple et qu’il n’ait pas été crédité lorsqu’elle a été corrigée dans iOS 14.7 (19 juillet), la société lui a dit :

« En raison d’un problème de traitement, votre crédit sera inclus dans les avis de sécurité dans une prochaine mise à jour. Nous nous excusons pour le dérangement. »

Après que le second ait été corrigé dans iOS 15.0.2 avec le mérite d' »un chercheur anonyme », Tokarev a déclaré qu’Apple lui avait répondu en six heures, mais n’avait apparemment aucun moyen de résoudre le problème de le citer correctement. Pendant ce temps, Apple n’a toujours pas répondu au zero-day analytique qu’il a trouvé et qui a été corrigé dans iOS 14.7.

Tokarev a été invité à garder confidentiels les derniers e-mails d’Apple et il a suivi cette demande pour le moment.

FTC : Nous utilisons des liens d’affiliation automatique qui génèrent des revenus. Suite.

Découvrez . sur YouTube pour plus d’actualités Apple :

Share