Apple Insider 報(bào)道稱，蘋果悄然修復(fù)了一個(gè)零日漏洞，以封堵 App 能夠訪問 iOS 15.0.2 中敏感信息的安全隱患。 然而盡管 Denis Tokarev 早在 iOS 15.0.2 發(fā)布前七個(gè)月就發(fā)現(xiàn)了該漏洞，這家軟件巨頭還是未能鄭重地將本次修復(fù)歸功于這名開發(fā)者。 上月，Tokarev 在一篇博文中詳細(xì)介紹了自己與蘋果漏洞賞金計(jì)劃的糟糕互動體驗(yàn)。

蘋果聲稱這些漏洞報(bào)告的價(jià)值高達(dá) 10 萬美元

Bleeping Computer 報(bào)道指出，Tokarev 在 iOS 15.0.2 發(fā)布后及時(shí)聯(lián)系了蘋果，后者在回復(fù)中要求其對郵件交流內(nèi)容保密，但最終他的某個(gè)漏洞報(bào)告未能得到官方的足夠重視和認(rèn)可回應(yīng)。

作為一個(gè)嚴(yán)重的缺陷，該漏洞或允許通過 App Store 安裝的應(yīng)用程序，在未經(jīng)授權(quán)的情況下訪問敏感數(shù)據(jù) —— 即便這些數(shù)據(jù)通常受到了安全沙箱或透明度、同意與控制保護(hù)措施的防護(hù)。

據(jù)悉，Tokarev 總共向蘋果上報(bào)了四個(gè)漏洞。該公司在 iOS 14.7 中修復(fù)了其中一個(gè)、并于 iOS 15.0.2 中修復(fù)了第二個(gè)，但還是遲遲未能修補(bǔ)剩下的兩個(gè)。

早在 9 月，蘋果就聲稱公司已在調(diào)查相關(guān)漏洞，但這并不是首次有安全研究人員遭到 Apple 漏洞賞金計(jì)劃的冷略。

上月的一份報(bào)告，就羅列了多條有關(guān)安全研究人員被忽視、不被認(rèn)可、甚至未能拿到應(yīng)有獎金的投訴。

然而就算是這樣，蘋果還是宣稱其漏洞賞金計(jì)劃取得了“巨大成功”(runaway success)，使得該公司能夠快速修復(fù)犯下的任何錯(cuò)誤。

關(guān)鍵詞： 蘋果 iOS 15 0 2 開發(fā)者