Apple "âm thầm" vá lỗ hổng zero-day trên iOS 15 nhưng không ghi nhận công lao của người tìm ra nó

Hải Hài Hước

Telegram: t.me/techrumvn
Tham gia
23/4/16
Bài viết
11,578
Được thích
15,909
1694 #1

Vào tháng trước, nhà nghiên cứu bảo mật Denis Tokarev (hay còn được biết đến với nickname Illionofchaos) đã chia sẻ cảm nhận về việc báo cáo ba lỗ hổng zero-day trên iOS cho Apple, kèm theo những lời chỉ trích về cách công ty phản hồi chậm trễ và không ghi nhận công lao của anh mặc dù đã vá một trong ba lỗ hổng này.

Sau khoảng thời gian hơn nửa năm chờ đợi kể khi báo cáo ba lỗ hổng và vẫn chưa nhận được bất kỳ phản hồi nào từ Apple, anh đã quyết định công khai thông tin này tới tất cả mọi người trên thế giới.

"Mười ngày trước, tôi đã yêu cầu giải thích và cảnh báo rằng sẽ công khai toàn bộ nghiên cứu về lỗ hổng zero-day trên iOS nếu không nhận được phản hồi. Yêu cầu của tôi đã bị Apple bỏ qua và tôi sẽ thực hiện đúng theo những gì đã nói. Hàng động của tôi tuân theo các nguyên tắc tiết lộ có trách nhiệm (Google Project Zero tiết lộ các lỗ hổng trong 90 ngày sau khi báo cáo cho nhà cung cấp, ZDI là khoảng 120 ngày). Tôi đã chờ đợi lâu hơn, lên đến nửa năm cho một trường hợp."

Trong bài đăng trên blog cá nhân, Tokarev đã nêu chi tiết về một lỗ hổng zero-day có thể cho phép bất kỳ ứng dụng nào được cài đặt từ App Store có quyền truy cập dữ liệu người dùng như email, Apple ID, họ tên, mã xác thực Apple ID, truy cập toàn bộ hệ thống tệp hay cơ sở dữ liệu Core Duet v.v...

Vào cuối tháng 9, Tokarev chia sẻ rằng anh đã nhận được phản hồi từ Apple cho biết công ty vẫn đang giải quyết "các vấn đề" và sẽ đưa tên anh vào mục "cố vấn bảo mật" trong bản cập nhật sắp tới. Tuy nhiên, sau khi vá thêm một lỗ hổng khác với bản cập nhật bảo mật iOS 15.0.2 vừa qua, mục credit lại chỉ vỏn vẹn dòng đóng góp từ "một nhà nghiên cứu ẩn danh"!




TECHRUM.VN
 
Sửa lần cuối:
Top Bottom