Araştırmacı, Apple'ın iOS 15'teki güvenlik açığı raporlarını görmezden geldiğini söylüyor. Bir güvenlik araştırmacısı, Apple'a bildirdikleri bir zero-day açığı konusunda kendilerini küçümsediğini ve şirketin şu anda iOS 15'te bulunan üç zero-day güvenlik açığını henüz düzeltmediğini iddia ediyor.
Güvenlik araştırmacısı illüzyonofchaos Cuma günkü blog yazısında, "Apple Security Bounty programına katılma konusunda sinir bozucu deneyim" başlıklı bir bölüme yer verdi. Bildiğiniz üzere bu program, bağımsız araştırmacılara Apple sistemlerindeki kusurları bulmaları için ödeme sunmayı amaçlıyor.
iOS 15 güvenlik açıkları milyonlarca kişiyi tehdit ediyor
Araştırmacı, 10 Mart ile 4 Mayıs arasında Apple'a dört zero-day güvenlik açığı sunduğunu söylüyor. Bu güvenlik açıklarından biri iOS 14.7'de düzeltildi, ancak araştırmacı Apple'ın bunu örtbas etmeye ve güvenlik içeriği sayfasında listelememeye karar verdiğini dile getirdi.
"Apple'a bunu bahsettiğimde özür diledi, bunun bir işleme sorunu nedeniyle olduğuna dair güvence verdi ve bir sonraki güncellemenin güvenlik içeriği sayfasında listeleyeceklerine söz verdi" dedi. Ancak güvenlik araştırmacısının belirttiğine göre, o zamandan beri üç sürüm çıktı ve hiçbir güvenlik içeriği sayfasında yer verilmedi.
Ek olarak iOS 15'in yayınlanan sürümünde diğer güvenlik açıklarından üçü hala mevcut. Araştırmacı, bu deneyiminden yola çıkarak Apple'ın iOS kusurlarının ifşa edilmesini göz ardı ettiğini söyledi: "On gün önce bir açıklama istedim ve bir açıklama almazsam araştırmamı kamuoyuna açıklayacağım konusunda uyardım. Talebim göz ardı edildi, bu yüzden yapacağımı söylediğim şeyi yapıyorum. Eylemlerim sorumlu açıklama yönergelerine uygun."
Üç büyük güvenlik açığından biri, App Store'dan indirilen uygulamaların Apple ID kimlik bilgileri ve kullanıcının rehberi hakkındaki bilgileri okumasına izin veriyor. Diğer kusur, herhangi bir uygulamanın cihazdaki başka uygulamaların yüklü olup olmadığını kontrol etmesine, üçüncüsü ise konum hizmetleri izinlerine sahip uygulamaların Wi-Fi bilgilerine erişmesini sağlıyor.
Bu, bir güvenlik araştırmacısının Apple Security Bounty programıyla ilgili endişelerini dile getirdiği ilk sefer değil.
Eylül ayının başlarında bir rapor; zayıf iletişim, ödeme karışıklığı ve diğer sorunları dile getiren araştırmacılar da dahil olmak üzere girişim hakkında bir dizi şikayet topladı. Ancak araştırma şikayetlerini toplayan aynı rapor, Apple'ın hata ödül programını denetlemek için yeni bir yönetici tuttuğunu da belirtti.
YORUMLAR