Na última segunda-feira (11), a Apple lançou a nova versão do iOS (15.0.2) para corrigir alguns bugs encontrados no sistema operacional. Até aí, nenhum problema, né? Mas o que não agradou muitas pessoas é que a companhia não deu crédito ao pesquisador responsável por encontrar as falhas e, inclusive, isso já aconteceu outras vezes.
No último mês, o pesquisador Denis Tokarev revelou que identificou brechas de segurança no iOS e avisou diversas vezes a companhia por e-mail, mas ficou sem resposta por meses. O mesmo aconteceu com uma falha encontrada no dia zero, identificada por Tokarev no início do ano, e corrigida nesta segunda.
After this I've sent 2 emails to Apple, complaining about lack of credit for gamed and analytics vulns. They replied to the first one pretty fast (6hrs) saying "We ask you treat the following information as confidential". Okay, Apple?? 1/3 https://t.co/OhiJlonWCc
— Denis Tokarev (@illusionofcha0s) October 13, 2021
Algumas atualizações do sistema operacional mobile da Apple tiveram falhas encontradas por Tokarev e, em setembro, após não ser creditado, ele resolveu publicar as informações para revelar a situação.
Caçadores de bugs não estão contentes
“Devido a um problema de processamento, seu crédito será incluído nos avisos de segurança em uma atualização futura. Pedimos desculpas pelo transtorno”, foi a resposta da Apple após o pesquisador registrar sua reclamação.
No dia da atualização 15.0.2 do iOS, Tokarev entrou em contato novamente com a Apple para tentar entender o motivo de não ser creditado. Contudo, a empresa pediu para manter a troca de e-mail em confidencialidade.
Não é apenas a palavra de Tokarev contra a da Apple: outros pesquisadores já haviam relatado experiências similares, revelando que a Apple corrige erros silenciosamente sem dar crédito aos pesquisadores que as encontraram. Inclusive, há relatos da empresa não pagar valores prometidos, ou simplesmente não pagar nada, nos programas de recompensas de bug.
Entre março e maio de 2021, Tokarev foi responsável por encontrar quatro falhas de segurança relativamente graves. Caso as vulnerabilidades encontradas fossem exploradas, hackers poderiam facilmente ter acesso aos e-mails, nomes, tokens e informações de apps do dispositivo.
Fontes