O site The Record divulgou, na segunda-feira (20), a entrevista de um pesquisador de segurança espanhol chamado Jose Rodriguez, que afirma ter descoberto uma forma de burlar o bloqueio de tela do iPhone. Divulgada exatamente no dia em que a Apple lançou o iOS 15, a falha foi publicada em detalhes pelo também youtuber, que teve alguns relatos de problemas semelhantes minimizados pela empresa no início deste ano.
Dois problemas denunciados anteriormente pelo pesquisador permitiam que pessoas mal-intencionadas pudessem acessar, mesmo com a tela do iPhone bloqueada, aplicativos de mensagens instantâneas e redes sociais, como Twitter, WhatsApp ou Telegram. Rastreadas como CVE-2021-1835 e CVE-2021-30699, as vulnerabilidades de segurança foram corrigidas pela Apple em abril e maio, respectivamente.
Mas Rodriguez discorda. Para ele, a Apple teria apenas mitigado o problema, mas, além de não corrigir, jamais se dirigiu a ele para conferir se o assunto estava resolvido, afirmou ao The Record. Para piorar, a empresa pagou apenas US$ 5 mil em seu programa de recompensa de bugs, quando o correto, segundo o espanhol, seria pagar pelo menos US$ 25 mil por se tratar de um "problema sério".
In hopes Apple realizes that is being tightwad rewarding security bug reports, and reconsider the bounties. https://t.co/g6TEIWmVDJ
— Jose Rodriguez (@VBarraquito) September 15, 2021
Mostrando como funciona o desvio de tela do iPhone
Inconformado com o descaso da equipe de segurança da Apple, o pesquisador prometeu em seu Twitter, no último dia 15 de setembro, que enviaria em privado um vídeo de Prova de Conceito (PoC) mostrando como o bloqueio de tela do iPhone (não) funciona, "para quem pedir, quando o iOS 15 for público" — ou seja, ontem (20).
A forma pouco profissional com a qual a Apple tem tratado os pesquisadores que encaminham bugs para fazer jus a recompensas foi objeto de um extenso artigo no jornal Washington Post há duas semanas. Colaboradores do programa relataram que a equipe de segurança de Cupertino atrasa a análise de bugs por meses, faz correções incompletas e paga as recompensas com valores abaixo do prometido.
Por isso, Jose Rodriguez decidiu publicar uma variação do mesmo desvio. Confira no vídeo a seguir.
Fontes
Categorias