اپل از یک محقق سایبری برای نادیده گرفتن حفرههای امنیتی iOS عذرخواهی کرد
هفته گذشته دنیس توکاروف، یک محقق امنیت سایبری برخی از حفرههای امنیتی سیستم عامل iOS را علنی کرد. او اعلام کرده است که شرکت اپل نسبت به گزارشهای او بیتفاوت بوده و اکنون که چندین ماه از آن میگذرد، هنوز برای رفع این مشکلات اقدامی انجام نداده است.
توکاروف امروز در توییتر Motherboard اعلام کرده است که شرکت اپل بعد از اینکه او این حفرههای امنیتی iOS را علنی و توجه رسانهها را به خود جلب کرد، با وی تماس گرفته است. اپل با ارسال یک ایمیل و معذرتخواهی بابت تأخیر در تماسشان به او اعلام کرده است که هنوز در حال بررسی این مشکلات امنیتی است.
یکی از کارکنان شرکت اپل در واکنش به این محقق نوشته است: «ما گزارشهای اخیر شما را نسبت به این موضوع و چیزهای دیگر، در پست وبلاگ شما دیدهایم. بابت تأخیر در پاسخگویی به گزارشهای شما عذرخواهی میکنیم. به این ترتیب به اطلاع شما میرسانیم که ما هنوز در حال بررسی این حفرههای امنیتی هستیم و تلاش میکنیم تا با حل این مشکلات امنیت بیشتر کاربران خود فراهم کنیم. دوباره از اینکه وقت خود را برای گزارش این مسائل به ما اختصاص دادید، سپاسگزاریم. در صورت وجود هرگونه سؤالی با ما در ارتباط باشید.»
شرکت اپل یکی از حفرههای امنیتی سیستم عامل iOS 14.7 را بر طرف کرده، اما به گزارش توکاروف که منجر به رفع این مشکل امنیتی شد هیچ اشارهای نکرده است. آسیبپذیری دیگر این سیستم عامل که به آن اشارهای نشد مشکل Game Center است که به هر اپلیکیشنی که از اپ استور نصب شده اجازه میدهد تا به ایمیل، نام کامل و نشانههای احراز هویت اپل آیدی، لیست مخاطبین و برخی پیوستها دسترسی داشته باشد.
توکاروف جزییات مربوط به این حفرههای امنیتی را به شکل علنی منتشر کرده است تا باعث شود که شرکت اپل سریعا برای رفع این ضعفهای امنیتی اقدام کند.
این محقق در ابتدا، بین روزهای ۱۰ مارس تا ۴ می برای اطلاع رسانی این مشکلات امنیتی با شرکت اپل تماس گرفت. بنابراین اپل ماهها زمان برای حل این آسیبپذیریها داشته است. اما شایان ذکر است که چندین محقق امنیت سایبری و شخص توکارف تأیید کردهاند که این اشکالات چندان مهم نیستند، چون برای سوء استفاده از این حفره امنیتی در ابتدا باید مجوز اپ استور برای نصب بدافزار وجود داشته باشد.
با این حال، کارشناسان از واکنش اپل و برنامهی باگبانتی آن انتقاد کردهاند. کتی موسوریس، کارشناس امنیت سایبری به توتییر Motherboard گفت که شیوه مدیریت شرکت اپل نرمال نیست و نباید آن را عادی تلقی کرد. در حالی که محقق نیکلاس پتاچک اعلام کرده بود که این اقدام شرکت اپل به نظر میرسد که بهعنوان پاسخی علیه واکنش بد خبرگزاریهای بوده است.
در اوایل ماه جاری، روزنامه واشنگتن پست با بیش از دوازده محقق امنیتی مصاحبهای انجام داد تا اشکالات برنامهی باگبانتی اپل را پیدا کند. محققان میگویند که اپل برای رفع اشکالات دیر اقدام میکند و بدهیهای خود را هیچوقت به مختصصان امنیت سایبری پرداخت نمیکند. همین هم باعث نارضایتی این محققان از شرکت اپل شده است.
در آن زمان، ایوان کرستیچ، رییس مهندسی امنیت و معماری اپل اعلام کرد که این شرکت در تلاش است تا به منظور افزایش مشارکت و پاداش محققان امنیت سایبری، ابزارهای تحقیقاتی جدید و حتی بهتری نسبت به قبل را در اختیار آنها قرار دهد.
منبع: macrumors
