A Apple silenciosamente corrigiu uma vulnerabilidade de zero dia com o lançamento do iOS 15.0.2, na segunda-feira, uma falha de segurança que pode permitir que invasores obtenham acesso a informações confidenciais do usuário.
De acordo com o Bleeping Computer, a empresa corrigiu a vulnerabilidade sem reconhecer ou creditar o desenvolvedor de software Denis Tokarev pela descoberta, embora ele tenha relatado a falha sete meses antes do lançamento do iOS 15.0.2.
Em julho, a Apple também corrigiu silenciosamente uma falha “analítica” de zero dia com o lançamento de 14.7 sem creditar Tokarev no comunicado de segurança, em vez de prometer reconhecer seu relatório em comunicados de segurança para uma próxima atualização, relata o Bleeping Computer.
Desde então, a Apple publicou vários avisos de segurança (iOS 14.7.1, iOS 14.8, iOS 15.0 e iOS 15.0.1) abordando as vulnerabilidades do iOS, mas, a cada vez, eles falharam em creditar seu relatório de bug de análise.
A falta de crédito ao desenvolvedor vem se alastrando há meses, em várias versões do iOS da Apple
“Devido a um problema de processamento, seu crédito será incluído nos avisos de segurança em uma atualização futura. Pedimos desculpas pelo transtorno”, disse a Apple quando questionada por que a lista de bugs de segurança do iOS corrigidos não incluía seu dia zero.
Dois dias atrás, depois que o iOS 15.0.2 foi lançado, Tokarev enviou um e-mail novamente sobre a falta de crédito pelas falhas identificadas por ele, inclusive essa última. A Apple respondeu, pedindo-lhe para tratar o conteúdo de sua troca de e-mail como confidencial, aponta o Bleeping Computer.
Esta não seria a primeira vez que a equipe de segurança da Apple pediu confidencialidade. De acordo com o site, a primeira vez aconteceu em agosto, quando ele foi informado que o zero dia do jogo seria corrigido em uma atualização de segurança futura e pediu para não divulgar o bug publicamente.
“Considerando todas as coisas, eles tratam a vulnerabilidade dos jogos um pouco melhor do que o analyticsd, pelo menos eles não me ignoram e mentem para mim desta vez”, disse Tokarev ao BleepingComputer.
Outros caçadores de recompensas de bugs e pesquisadores de segurança também relataram experiências semelhantes ao relatar vulnerabilidades à equipe de segurança de produtos da Apple por meio do Apple Security Bounty Program. Alguns disseram que os bugs reportados à Apple foram corrigidos silenciosamente, e a empresa não deu crédito a eles, assim como aconteceu neste caso.
Parece que a Apple não quer assumir que os bugs foram descobertos por terceiros.
Via: BleepingComputer