Nei giorni scorsi la storia raccontata da un ricercatore di sicurezza, Denis Tokarev, aveva fatto discutere per le dinamiche che aveva messo in luce circa il programma di Bug Bounty di Apple. Il post di Tokarev ha però sortito gli effetti auspicati: non solo Apple ha risposto, ma si è anche scusata per il ritardo e ha promesso interventi a stretto giro.
Apple: correggeremo le vulnerabilità
Tokarev, nello specifico, accusava Apple di aver ignorato le sue indicazioni relative a tre falle zero-day che in seguito sarebbero state riconfermate anche sul nuovo iOS 15. Il problema, secondo quanto spiegato, sta nel fatto che Apple non aveva mai risposto alle indicazioni del ricercatore, autorizzando quindi di fatto lo stesso a divulgare gli estremi delle vulnerabilità. Così è successo.
Ora Apple avrebbe inviato una mail (verificata) nella quale si scusa per il ritardo nella risposta e spiega di essere attualmente impegnata nell’analisi dei bug e delle migliori modalità di intervento per chiudere i pericoli esistenti. I pericoli stessi sono stati comunque calmierati nelle analisi di questi giorni: per colpire il bug occorrerebbe una app caricata sullo store di Cupertino, ove già avvengono verifiche a monte e dove un eventuale exploit potrebbe essere bloccato all’origine senza consentire di diffondersi su larga scala. Ma le vulnerabilità in questo caso non sono la luna, ma il dito: il cuore del problema è un programma di Bug Bounty che non convince e nel quale i ricercatori di sicurezza vorrebbero Apple maggiormente impegnata.
Ti potrebbe interessare
28 set 2021