こんな指摘が半年無修正のままだったとは。
iOSに関するゼロデイ脆弱性(対処法がまだない脆弱性)を見つけてApple(アップル)に報告したのに、いつまで経っても修正されないことに業を煮やしたセキュリティ研究員のDenis Tokarevさん(@illusionofchaos)が詳細をブログにブチまけてしまいました。
Appleはクリティカルな欠陥を報告してくれた人に最大150万ドル(約1億6600万円)の報酬を支払うセキュリティバウンティプログラムを設けて情報収集に努めているのですが、Tokarevさんの報告には謝礼はおろかメンションさえなかったのだそうですよ? 以下はブログ記事の抜粋です。
Appleセキュリティバウンティプログラムには失望を禁じえない。ゼロデイ脆弱性を今年3月10日から5月4日にかけて計4件報告したのだが、うち3件はiOS最新版(15.0)でも修正されていないし、残りの1件は14.7で修正されたが、Appleのセキュリティコンテンツページにはそれについてひとことも言及がない。どういうことなのかと問いただすと、Appleは謝って、業務処理上の不具合によるものなので次のアップデートで掲載すると約束したが、あれからリリースは3回あったのに約束は毎回破られて今にいたっている。
10日前に説明を求めて、満足な回答が得られなければ研究内容の公開に踏み切ると警告した。無視されたので予告どおり実行に移すことにした。公開にあたっては一般のセキュリティ脆弱性公開のガイドラインを守り(Googleプロジェクトゼロではベンダーに報告後90日待って公開するルールになっている。トレンドマイクロ傘下のZDIは120日)、もっと長い猶予期間を置いてみた。報告から半年経過しているものもある。
記事には同じような苦い経験をした人たちの関連記事と、脆弱性のソースコードのURLと概要、報告日、Appleとのやりとりの一部始終がくわしく書かれています。
ブログ記事が公開されて24時間後、やっとAppleから返信がきたようですが、それは次のようなテンプレ口調だったそうです。
本件に関するブログ記事、その他の報告を拝見しました。返信が遅くなりましたことをお詫び申し上げます。
ご指摘の問題についてはまだ調査中で、カスタマー保護の観点からどう対処できるか検討している段階ですのでご了承ください。問題報告に貴重なお時間を割いていただき、ご協力に感謝いたします。
ご不明な点がございましたら遠慮なくご連絡ください。
のれんに腕押しですね。
ゼロデイ脆弱性修正のニュースが流れたのでこの3つ?と思ったら別の脆弱性だった…。いろいろ忙しいのでしょうか…。識者からは次のような声が出ていますよ。
「バグ報奨金プログラムは大きな成果につながることもあるが、この進め方では厳しいね」(Nick Craverさん)
「世界一金持ちな会社が口約束ばかりで電話にも出なくてセキュリティ研究員がiPhoneのゼロデイ脆弱性3件公開を余儀なくされるとは」(Mikko Ohtamaaさん)
「GameCenterの脆弱性は特にひどい。セキュリティプログラムがまともに機能していればこの種のものが表に出ることはまずない。ところがAppleではそれが日常だ。どこまでいけば目が覚めるんだろう?」(Marco Armentさん)
Source: Habr