Jengkel dengan penanganan program hadiah keamanan Apple baru-baru ini, a keamanan cyber (terbuka di tab baru) peneliti telah merilis kode exploit proof-of-concept (PoC) untuk tiga kerentanan zero-day di iOS 15 (terbuka di tab baru).
Peneliti yang hanya dikenal dengan nama alias IllusionOfChaos itu mengatakan, tindakannya itu sebagai jawaban atas kelambanan Apple memperbaiki kerentanan tersebut.
“Saya telah melaporkan empat kerentanan 0 hari tahun ini antara 10 Maret dan 4 Mei, sampai sekarang tiga di antaranya masih ada di versi iOS terbaru (15.0) dan satu diperbaiki di 14.7, tetapi Apple memutuskan untuk menutupinya. dan tidak mencantumkannya di halaman konten keamanan,” menulis (terbuka di tab baru) peneliti.
Peneliti menambahkan bahwa sementara Apple awalnya meminta maaf atas tanggapan mereka, mereka kemudian bahkan tidak menanggapi emailnya ketika dia mengancam akan membagikan detail tentang kerentanan dalam sepuluh hari.
Terjebak dalam birokrasi?
Dalam postingan tersebut, peneliti mengatakan bahwa dalam email awal mereka, Apple mengklaim bahwa perusahaan tersebut gagal untuk secara terbuka mengakui kerentanan karena “masalah pemrosesan”.
“Ketika saya mengonfrontasi mereka, mereka meminta maaf, meyakinkan saya bahwa itu terjadi karena masalah pemrosesan dan berjanji untuk mencantumkannya di halaman konten keamanan pembaruan berikutnya. Ada tiga rilis sejak saat itu dan mereka selalu mengingkari janjinya,” ungkap peneliti.
IllusionofChaos kemudian memberi Apple sepuluh hari untuk menjelaskan alasan kelesuan yang terus berlanjut dalam memperbaiki bug, memperingatkan mereka bahwa detailnya akan dibagikan setelah berakhirnya kerangka waktu. Karena Apple tidak menanggapi, semua penelitian kini telah dibagikan secara online.
“Permintaan saya diabaikan jadi saya melakukan apa yang saya katakan akan saya lakukan. Tindakan saya sesuai dengan pedoman pengungkapan yang bertanggung jawab (Google Project Zero mengungkapkan kerentanan dalam 90 hari setelah melaporkannya ke vendor, ZDI – dalam 120 hari). Saya telah menunggu lebih lama, hingga setengah tahun dalam satu kasus,” alasan peneliti ketika dia membagikan rincian kerentanan bersama dengan kode eksploitasi PoC untuk semuanya.
Menariknya, pengembang jailbreak anonim mengklaim telah diperbaiki (terbuka di tab baru) ketiga kerentanan, hampir sehari setelah diungkapkan.
TechRadar Pro telah menghubungi Apple untuk memberikan komentar.
