Apple, il programma di bug bounty sotto accusa da un ricercatore

Apple, il programma di bug bounty sotto accusa da un ricercatore


C’è una controversia in atto relativa a una vulnerabilità chiusa con iOS 15.0.2: un ricercatore dice di averla segnalata diversi mesi fa, di non aver ricevuto risposta e in ultimo di non aver ricevuto il credito della scoperta. Ad aggravare la questione c’è il fatto che lo stesso ricercatore, Denis Tokarev, dice di aver ricevuto lo stesso trattamento in passato.

Tokarev dice di aver aspettato oltre sei mesi per una risposta di Apple, senza riceverne alcuna. Ha avvisato che avrebbe divulgato pubblicamente i risultati della sua ricerca, ma la sollecitazione è stata ignorata. Dopo aver aspettato ulteriori dieci giorni, Tokarev ha deciso di pubblicare. La falla in questione permetteva a qualsiasi app dall’App Store di accedere a dati personali molto sensibili dell’utente, come email, token di autorizzazione e nome completo dell’Apple ID, e accesso completo in lettura al database Core Duet. La vulnerabilità è stata corretta, ma il credito della segnalazione è stato assegnato a “un ricercatore anonimo” (è possibile verificarlo seguendo il link FONTE in fondo all’articolo, che rimanda proprio al changelog di sicurezza dell’aggiornamento).

Giusto per fugare ogni dubbio: non è solo una questione di credito e reputazione (pure importante, soprattutto in un ambiente come quello della sicurezza informatica). Le grandi aziende, Apple inclusa, pagano bei soldi per chi scova falle di sicurezza nei loro prodotti hardware e software. È così che i ricercatori si guadagnano da vivere. Vale la pena ricordare che in genere un hack ci mette pochi secondi a eseguirsi, ma a monte c’è un lavoro di ricerca enorme, che spesso si protrae per mesi.

Altrettanto importante è ricordare che nel settore la pratica di pubblicare le proprie ricerche dopo un po’ di tempo è una prassi consolidata: in questo modo i produttori sono incoraggiati a fare in fretta sulla creazione di una soluzione. Il ragionamento è: se i dettagli della falla vengono divulgati pubblicamente, è molto più facile per un truffatore informatico creare un hack e causare danni ai dispositivi degli utenti, infliggendo un durissimo colpo alla credibilità e reputazione di quel produttore. Project Zero, la divisione InfoSec di Google, ha una severissima politica di 90 giorni, con qualche sporadica concessione di una settimana extra.

Il precedente di Denis Tokarev risale al 19 luglio e riguardava iOS 14.7. A quell’epoca Apple si era scusata piuttosto in fretta, e aveva detto che avrebbe corretto la questione del credito nella release successiva. Tuttavia, non è mai successo. Anche in questo caso Apple ha risposto con solerzia alle lamentele del ricercatore, ma a quanto pare non ha offerto una soluzione per risolvere. Ricapitolando: Apple è accusata di essere stata eccessivamente lenta nel correggere almeno due vulnerabilità critiche e di non aver attribuito il corretto credito a chi le ha scoperte. Si attende una risposta convincente dalla Mela.





Via: HDBlog

ilportaledelnerd

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *