أبل تطرح إصلاحا أمنيا لثغرة في نظام iOS 15 بدون ذكر مكتشفها
في الشهر الماضي، شارك الباحث الأمني دينيس توكاريف Denis Tokarev، المعروف أيضًا باسم illusionofchaos، تجربته في الإبلاغ عن ثلاث ثغرات أمنية في نظام iOS إلى أبل مع انتقاد نقاط محددة متعلقة ببطء الشركة في الاستجابة والتصرف وعدم منحه الفضل في أحد العيوب الثلاثة التي تم تصحيحها. الآن يبدو أن شركة آبل قد أصلحت عيبًا آخر في نظام التشغيل iOS 15 الذي وجده توكاريف في وقت سابق من هذا العام، دون منحه الفضل في ذلك.
في سبتمبر، قال توكاريف إنه بعد انتظار ما يصل إلى نصف عام منذ إبلاغ شركة أبل عن بعض نقاط الضعف، قرر نشر المعلومات للجمهور.
قبل عشرة أيام طلبت تفسيرًا وحذرت حينها من أنني سأعلن بحثي إذا لم أتلق أي تفسير. تم تجاهل طلبي، لذا فأنا أنفذ ما هددت بفعله. تتوافق أفعالي مع إرشادات الإفصاح المسؤول (يكشف فريق Google Project Zero عن نقاط الضعف في غضون 90 يومًا بعد إبلاغ البائع عنها، الفقرة 120 من إرشادات مبادرة اليوم صفر Zero Day Initiative (ZDI)). لقد انتظرت أكثر من ذلك بكثير، حتى نصف عام في حالة واحدة.
في نهاية سبتمبر، أفاد توكاريف أنه تلقى ردًا من شركة أبل يقول إنهم ما زالوا يعملون على “المشكلات” واعتذر عن التأخير.
في منشور طرحه على مدونته في سبتمبر، أوضح توكاريف ثغرة في يوم الصفر (واحد من الثغرات الثلاث) من شأنه أن يسمح لأي تطبيق مثبت من متجر التطبيقات بالوصول إلى بيانات المستخدم الشخصية مثل البريد الإلكتروني لمعرف أبل Apple ID والاسم الكامل، رمز مصادقة Apple ID ، نظام الملفات الكامل للوصول إلى قاعدة بيانات Core Duet والمزيد.
يقول توكاريف الآن إن شركة أبل قامت بتصحيح ثغرة اليوم صفر التي اكتشفها في تحديث أمان iOS 15.0.2 دون أن تنسب إليه الفضل (نقلًا عن BleepingComputer).
بعد اكتشاف أول عيب في اليوم صفر، تم اكتشافه وإبلاغ أبل عنه، ولم يُنسب إليه الفضل عندما تم إصلاحه في iOS 14.7 (19 يوليو)، أخبرته الشركة:
“نظرًا لوجود مشكلة في المعالجة، سيتم الإشارة إليك في تحذيرات الأمان في التحديث القادم. نعتذر عن الإزعاج.”
بعد تصحيح الثانية في iOS 15.0.2 والإشارة إليه باسم “باحث مجهول”، قال توكاريف إن شركة أبل استجابت له في غضون ست ساعات، ولكن على ما يبدو لم يكن لديها طريقة لإصلاح مشكلة الاستشهاد به بشكل صحيح. وفي الوقت نفسه، ما زالت أبل لم تستجب لتحليلات اليوم صفر التي وجدها والتي تم تصحيحها في iOS 14.7.
طُلب من توكاريف الحفاظ على سرية أحدث رسائل البريد الإلكتروني الواردة من أبل وقد اتبع هذا الطلب في هذا الوقت.
https://twitter.com/illusionofcha0s/status/1448269159721283588?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1448269165417148418%7Ctwgr%5E%7Ctwcon%5Es2_&ref_url=https%3A%2F%2F9to5mac.com%2F2021%2F10%2F13%2Fapple-patches-zero-day-flaw-in-ios-15%2F
Seems that they don’t have a separate protocol on handling reports which were already disclosed. And if this message contains a legit excuse, they could save a tiny bit of reputation by making it public. But it’s up to them, I won’t disclose full message until I get credit. 2/3 pic.twitter.com/iG6waUELtk
— Denis Tokarev (@illusionofcha0s) October 13, 2021