先月、セキュリティ研究者のデニス・トカレフ氏(別名illusionofchaos)は、iOSのゼロデイ脆弱性3件をAppleに報告した際の体験談を共有し、Appleの対応の遅さと、修正された3件の脆弱性のうち1件についてトカレフ氏の功績を認めなかった点を具体的に批判しました。そして今回、Appleはトカレフ氏が今年初めに発見したiOS 15のゼロデイ脆弱性を、トカレフ氏の功績を認めずに修正したようです。
トカレフ氏は9月、アップル社に脆弱性の一部を報告してから最大半年待った後、情報を公表することに決めたと述べた。
10日前、説明を求め、説明がなければ調査結果を公表すると警告しました。しかし、要求は無視されたため、約束通り行動しています。私の行動は、責任ある情報開示ガイドライン(Google Project Zeroは、ベンダーZDIに脆弱性を報告してから90日以内に脆弱性を公開する)に準拠しています。私はそれよりずっと長く、あるケースでは最長で半年も待ったことがあります。
トカレフ氏は9月末、Appleから「問題」にまだ取り組んでいると返答があり、遅延について謝罪したと明かした。
トカレフ氏は9月のブログ記事で、App StoreからインストールされたアプリがApple IDのメールアドレスや氏名、Apple ID認証トークン、Core Duetデータベースへの完全なファイルシステム読み取りアクセスなど、ユーザーの個人データにアクセスできるようになる、ゲーム化されたゼロデイ脆弱性(3つのうちの1つ)について詳しく説明しました。
現在、トカレフ氏は、Apple が iOS 15.0.2 セキュリティアップデートで彼が発見した不正なゼロデイ脆弱性を、彼の名前を明かさずに修正したと述べている (BleepingComputer 経由)。
トカレフ氏が最初のゼロデイ脆弱性を発見してAppleに報告した後、iOS 14.7(7月19日)でその脆弱性が修正されたにもかかわらず、同氏は功績を認められなかったため、同社は同氏にこう伝えた。
処理上の問題により、お客様のクレジットは今後のアップデートでセキュリティアドバイザリに掲載されます。ご不便をおかけして申し訳ございません。
2つ目の脆弱性がiOS 15.0.2で「匿名の研究者」の名義で修正された後、トカレフ氏はAppleが6時間以内に返答したものの、彼の名前を適切に引用するという問題を解決する方法がなかったと述べた。一方、彼が発見しiOS 14.7で修正されたanalyticsdのゼロデイ脆弱性については、Appleは未だに回答していない。
トカレフ氏はアップルからの最新の電子メールを秘密にするよう求められ、現時点ではその要求に従っている。
https://twitter.com/illusionofcha0s/status/1448269165417148418
https://twitter.com/illusionofcha0s/status/1448269171855400961
www.sweimm.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
![iOSとMacのApp Storeで検索問題が発生し、主要アプリが表示されず、結果も不正確[2回更新]c](https://image.sweimm.com/miommiod/2b/3b/9to5mac-default.webp)
