Un investigador destaca el mal funcionamiento del Apple Security Bounty

La seguridad para Apple es importante, sobre todo teniendo en cuenta los problemas con las grandes empresas tecnológicas que tan a la orden del día están. De hecho, cada vez más estamos viendo como software y hardware se complementan brindando mayor información y datos personales que se almacenan en el interior del dispositivo y no en los servicios de Apple gracias a tecnología como el procesador Secure Enclave. Además, Apple tiene en funcionamiento un sistema de recompensas para los usuarios que detecten vulnerabilidades en sus sistemas operativos: el Apple Security Bounty. De hecho, un usuario muestra su descontento con el sistema de recompensas demostrando que lleva meses enviando información sobre tres vulnerabilidades que aún aparecen en iOS 15.

Apple Security Bounty: descubrir vulnerabilidades a cambio de dinero

El Apple Security Bounty es un sistema de recompensas que la gran manzana amplió en 2019 con el objetivo de permitir que cualquier usuario pudiera enviar información sobre errores y vulnerabilidades en sus sistemas operativos. Las recompensas oscilan entre los 25000 y el millón de dólares en función de la gravedad de la vulnerabilidad encontrada.

El investigador Denis Tokarev comenta en su blog que hace más de 7 meses que Apple tiene información sobre 3 vulnerabilidades que aún están disponibles en iOS 15:

He informado de cuatro vulnerabilidades de día 0 este año entre el 10 de marzo y el 4 de mayo, a partir de ahora tres de ellas todavía están presentes en la última versión de iOS (15.0) y una se corrigió en la 14.7, pero Apple decidió encubrirla y no lo incluya en la página de contenido de seguridad.

Apple responde al investigador meses después, tras la publicación de su artículo

En el artículo, Tokarev se encarga de analizar cada uno de las tres vulnerabilidades. Tal y como avisó a Apple que haría si no se ponían en contacto con él. Los de Cupertino estaban incumpliendo con el contrato que se firma cuando se hace uso del Apple Security Bounty. Horas después de la publicación del artículo que deja en evidencia a Apple y su programa, desde Cupertino se pusieron en contacto con el investigador:

Vimos su publicación de blog sobre este problema y sus otros informes. Nos disculpamos por la demora en responderle.

Queremos informarle que todavía estamos investigando estos problemas y cómo podemos abordarlos para proteger a los clientes. Gracias nuevamente por tomarse el tiempo para informarnos estos problemas, agradecemos su ayuda.

Por favor, háganos saber si usted tiene alguna pregunta.

El investigador continúa y asegura que es ridículo el mensaje de Apple sobre todo teniendo en cuenta que un usuario del mundo del jailbreak ha encontrado una solución a los tres exploits que Tokarev notificó a Apple en marzo.