La firma è quella del ricercatore di sicurezza “Illusionofchaos“, i dettagli sono messi nero su bianco: un attacco ad Apple e al suo “Bounty Program“, con l’accusa di aver prima nascosto una falla e poi di averne lasciate aperte altre tre. E il problema sarebbe ancora pienamente attivo sul nuovo iOS 15.
I Bounty Program sono piattaforme di segnalazione delle vulnerabilità (attive presso molti grandi gruppi) nelle quali si sigla un patto reciproco di responsabilità e cooperazione: il ricercatore non diffonderà dettagli sul problema, l’azienda rimborserà per il lavoro effettuato e si impegna ad una rapida risoluzione. L’attacco in questo post segnala un meccanismo che non funziona e sul quale Apple ora dovrà ricostruire il rapporto con i ricercatori di sicurezza che vi si sono impegnati.
Le tre 0-day di iOS 15.0
Così introduce i fatti:
Voglio condividere la mia frustrante esperienza nel partecipare all’Apple Security Bounty Program. Ho segnalato quattro vulnerabilità 0-day tra il 10 marzo e il 4 maggio 2021, tre sono ancora presenti nell’ultima versione di iOS (15.0) e una è stata risolta in iOS 14.7, ma Apple ha deciso di non indicarla nella lista presente sulla pagina degli aggiornamenti di sicurezza. Quando mi sono confrontato con loro, si sono scusati, assicurandomi che è successo a causa di un problema procedurale e mi hanno promesso che avrebbero risolto all’aggiornamento successivo. Sono passati tre aggiornamenti da allora e non hanno mantenuto la promessa.
Un attacco diretto al programma di Cupertino, insomma, da cui è presumibile possa giungere a breve una risposta dettagliata (occorre giocoforza sentire anche la controparte prima di poter giudicare i fatti così come raccontati dal ricercatore). Il post, infatti, contiene tre repository con tanto di codici che dimostrano le vulnerabilità, dettagliata descrizione e proof-of-concept. Al tempo stesso è stata sciorinata una precisa timeline relativa alle varie tappe attraverso cui si arriva al post odierno, con cui il ricercatore mette le carte in tavola e punta il dito contro il programma Apple per la segnalazione delle vulnerabilità.
Ora sappiamo che iOS 15 nasce probabilmente con il peccato originale e bisognerà attendere i prossimi update per una risoluzione che, a questo punto, diventa più urgente.