AppleInsiderスタッフ
· 1分で読めます
AppleはiOS 15.0.1のリリースで最近発覚したロック画面のバイパスを修正したが、その脆弱性やそれを発見した人物を公に認めなかった。
9月、研究者のホセ・ロドリゲス氏は、攻撃者が保護されたiPhoneのロック画面を回避し、VoiceOverと一般的な共有ツールを組み合わせてメモにアクセスできるようになるiOSの脆弱性について詳細を説明した。
ロドリゲス氏は9月20日、自身のYouTubeチャンネルで概念実証を公開し、ユーザーのメモをコピーして別のデバイスに送信する方法を示した。同氏は公開前にAppleにこの脆弱性を開示しておらず、当時は、この脆弱性を「無料で提供する」のは、同社のバグ報奨金プログラムに関連する問題を解明するためだと述べていた。
ロドリゲス氏が金曜日のTwitter投稿で指摘したように、AppleのiOS 15.0.1リリースには、ロック画面バイパスの修正が含まれています。付属のリリースノートによると、AppleはCVE番号を割り当てておらず、この脆弱性を発見した研究者へのクレジットも付与していません。同社は先月、macOSのFinderのバグをひっそりと修正した際にも同様の措置を取っていました。
先週の報告書では、Appleのバグ報奨金プログラムについて、コミュニケーション不足と発見された脆弱性に対する報奨金の支払いに関する問題を研究者が批判しました。同様の意見は、セキュリティ研究者のデニス・トカレフ氏、ボビー・ラウチ氏、ロドリゲス氏からも最近表明されました。彼らはいずれもAppleにバグを発見し報告した人物です。
アップルのセキュリティエンジニアリング責任者であるイヴァン・クルスティック氏は先月のインタビューで、このプログラムを「大成功」と評し、この取り組みを「拡大・改善」し続けながらフィードバックを集めていると付け加えた。クルスティック氏は当時、アップルは間違いの修正に尽力し、「そこから学び、プログラムを迅速に改善していく」と述べた。
最近の報道によると、Apple はバグ報奨金プログラムを改革するために新しいチームリーダーを雇ったとのことです。
