На прошлой неделе исследователь безопасности Денис Токарев сделал несколько уязвимостей iOS нулевого дня публичными после того, как заявил, что Apple игнорировала его отчеты и не исправляла проблемы в течение нескольких месяцев.

Сегодня Токарев сообщил изданию Motherboard, что Apple связалась с ним после того, как он публично высказал свои претензии и после того, как его заявления привлекли значительное внимание СМИ. В электронном письме Apple извинилась за задержку ответа и заявила, что «все еще расследует» проблемы.

«Мы видели ваш пост в блоге, касающийся этой проблемы, и ваши другие отчеты. Приносим извинения за задержку в ответе», — написал сотрудник Apple. «Мы хотим сообщить вам, что мы все еще расследуем эти проблемы и способы их решения для защиты клиентов. Еще раз благодарим вас за то, что вы уделили время для сообщения нам об этих проблемах, мы ценим вашу помощь. Пожалуйста, дайте нам знать, если у вас есть какие-либо вопросы».

Apple *действительно* исправила одну из уязвимостей в iOS 14.7, но не указала Токарева в качестве первооткрывателя. Три другие остаются неисправленными, включая ошибку Game Center, которая, как утверждается, позволяет любому приложению, установленному из App Store, получать полный доступ к электронной почте и имени владельца Apple ID, токенам аутентификации ‌Apple ID‌, спискам контактов и некоторым вложениям.

Подробности обо всех уязвимостях нулевого дня были опубликованы публично Токаревым, что может побудить Apple к их более быстрому исправлению.

Токарев впервые связался с Apple по поводу этих ошибок между 10 марта и 4 мая, так что у Apple было несколько месяцев, чтобы выпустить исправления, но стоит отметить, что несколько исследователей безопасности и сам Токарев подтвердили, что ошибки не являются крайне критическими, поскольку для их использования вредоносному приложению сначала потребуется одобрение App Store.

Тем не менее, эксперты раскритиковали реакцию Apple и ее программу вознаграждений за ошибки. Эксперт по кибербезопасности Кэти Муссурис заявила Motherboard, что действия Apple «не являются нормальными и не должны считаться нормальными», в то время как исследователь Николас Птачек сказал, что реакция Apple выглядит как «реакция на плохую прессу».

В начале этого месяца газета The Washington Post взяла интервью у более чем двух десятков исследователей безопасности, чтобы разоблачить недостатки программы Apple по вознаграждению за ошибки. Исследователи заявили, что Apple медленно исправляет ошибки и не всегда выплачивает причитающиеся средства, что вызывает недовольство исследователей программой Apple.

В то время глава отдела безопасности и архитектуры Apple Иван Крстич заявил, что Apple «планирует ввести новые вознаграждения для исследователей», чтобы расширить участие, и что Apple работает над предоставлением новых и еще лучших инструментов для исследований.