マイク・ピーターソン
· 1分で読めます
クレジット: アンドリュー・オハラ、AppleInsider
セキュリティ研究者は、自分たちが報告したゼロデイ脆弱性についてAppleが無視し、現在iOS 15に存在する他の3つのゼロデイ脆弱性をまだ修正していないと主張している。
セキュリティ研究者のillusionofchaos氏は金曜日のブログ投稿で、「Apple Security Bountyプログラムに参加した際のフラストレーションの溜まる経験」について綴った。このプログラムは、Appleのシステムの脆弱性を発見した独立系研究者に報酬を支払うことを目的としている。
研究者は、3月10日から5月4日の間に4件のゼロデイ脆弱性をAppleに報告したと述べている。これらの脆弱性の1つはiOS 14.7で修正されたが、Appleは「それを隠蔽し、セキュリティコンテンツページに掲載しないことに決めた」と研究者は述べている。
「私が彼らに問いただすと、彼らは謝罪し、処理の問題が原因であると保証し、次回のアップデートのセキュリティコンテンツページに記載すると約束しました」とillusionofchaosは書いている。「それ以来3回のリリースがありましたが、彼らは毎回約束を破りました。」
さらに、他のセキュリティ上の欠陥のうち3つは、iOS 15のリリースバージョンにまだ存在している。研究者は、AppleがiOSの欠陥の開示を無視していると述べた。
「10日前、私は説明を求め、説明がなければ研究結果を公表すると警告しました」とillusionofchaosは述べた。「私の要求は無視されたので、私は約束通り行動しています。私の行動は責任ある情報開示のガイドラインに沿っています。」
3つの脆弱性には、iOS App StoreからダウンロードされたアプリがApple IDの認証情報やユーザーの連絡先情報などのデータを読み取れる脆弱性が含まれています。また、任意のアプリがデバイスに他のアプリがインストールされているかどうかを確認できる脆弱性、さらに位置情報サービスへのアクセス許可を持つアプリがWi-Fi情報にアクセスできるようになる脆弱性も存在します。
セキュリティ研究者がAppleのセキュリティバウンティプログラムについて懸念を表明したのは今回が初めてではない。9月初旬には、この取り組みに関する多数の苦情が報告されており、研究者からはコミュニケーション不足、支払い方法の混乱、その他の問題が指摘されていた。
Appleは2019年に報奨金プログラムを全面的に見直し、セキュリティ研究者なら誰でも参加できるようにし、報奨金を増額しました。それ以来、Appleはこのプログラムを「大成功」と呼んでいます。
研究者の苦情を集めた同じ報告書では、Apple がバグ報奨金プログラムを監督し改革するために新しい幹部を雇ったことも示唆されている。
