Un investigador destaca el mal funcionamiento del Apple Security Bounty

Apple Security Bounty La seguridad para Apple es importante, sobre todo teniendo en cuenta los problemas con las grandes empresas tecnológicas que tan a la orden del día están. De hecho, cada vez más estamos viendo como software y hardware se complementan brindando mayor información y datos personales que se almacenan en el interior del dispositivo y no en los servicios de Apple gracias a tecnología como el procesador Secure Enclave. Además, Apple tiene en funcionamiento un sistema de recompensas para los usuarios que detecten vulnerabilidades en sus sistemas operativos: el Apple Security Bounty. De hecho, un usuario muestra su descontento con el sistema de recompensas demostrando que lleva meses enviando información sobre tres vulnerabilidades que aún aparecen en iOS 15.

Apple Security Bounty: descubrir vulnerabilidades a cambio de dinero

Como parte del compromiso de Apple con la seguridad, recompensamos a los investigadores que comparten con nosotros problemas críticos y las técnicas utilizadas para explotarlos. Para nosotros es una prioridad resolver los problemas confirmados lo más rápido posible para proteger mejor a los clientes. Apple ofrece reconocimiento público para aquellos que envíen informes válidos e igualará las donaciones del pago de recompensa a organizaciones benéficas que califiquen.

El Apple Security Bounty es un sistema de recompensas que la gran manzana amplió en 2019 con el objetivo de permitir que cualquier usuario pudiera enviar información sobre errores y vulnerabilidades en sus sistemas operativos. Las recompensas oscilan entre los 25000 y el millón de dólares en función de la gravedad de la vulnerabilidad encontrada.

El investigador Denis Tokarev comenta en su blog que hace más de 7 meses que Apple tiene información sobre 3 vulnerabilidades que aún están disponibles en iOS 15:

He informado de cuatro vulnerabilidades de día 0 este año entre el 10 de marzo y el 4 de mayo, a partir de ahora tres de ellas todavía están presentes en la última versión de iOS (15.0) y una se corrigió en la 14.7, pero Apple decidió encubrirla y no lo incluya en la página de contenido de seguridad.

Apple responde al investigador meses después, tras la publicación de su artículo

La llegada de la WWDC 2021 es inminente

En el artículo, Tokarev se encarga de analizar cada uno de las tres vulnerabilidades. Tal y como avisó a Apple que haría si no se ponían en contacto con él. Los de Cupertino estaban incumpliendo con el contrato que se firma cuando se hace uso del Apple Security Bounty. Horas después de la publicación del artículo que deja en evidencia a Apple y su programa, desde Cupertino se pusieron en contacto con el investigador:

Vimos su publicación de blog sobre este problema y sus otros informes. Nos disculpamos por la demora en responderle.

Queremos informarle que todavía estamos investigando estos problemas y cómo podemos abordarlos para proteger a los clientes. Gracias nuevamente por tomarse el tiempo para informarnos estos problemas, agradecemos su ayuda.

Por favor, háganos saber si usted tiene alguna pregunta.

El investigador continúa y asegura que es ridículo el mensaje de Apple sobre todo teniendo en cuenta que un usuario del mundo del jailbreak ha encontrado una solución a los tres exploits que Tokarev notificó a Apple en marzo.


El contenido del artículo se adhiere a nuestros principios de ética editorial. Para notificar un error pincha aquí.

Sé el primero en comentar

Deja tu comentario

Tu dirección de correo electrónico no será publicada.

*

*

  1. Responsable de los datos: AB Internet Networks 2008 SL
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.