Apple、iOS15の脆弱性を修正も、発見者についての言及はなし

2021年10月15日

ios15

AppleはこのほどリリースしたiOS15.0.2において、深刻な脆弱性を修正しました。しかしリリースノートにおいて、発見者の氏名が記載されていないと当人が訴えています。

4つの脆弱性を報告もAppleはこれを無視

セキュリティ研究者のデニス・トカレフ氏（通称illusionofchaos）は、iOS14において4つの脆弱性を発見、Appleに報告しましたが、2021年7月にリリースされたiOS14.7でそのうちの1つが修正されたのみで、3つは放置されたままiOS15が公開されました。

トカレフ氏はAppleに繰り返しこの件について問い合わせたものの返答が得られなかったため、9月に自分のブログにおいて、自身が見つけた脆弱性の公開に踏み切ります。

複数のメディアがトカレフ氏のブログを取り上げ、話題になったためか、その後Appleから同氏に対し「調査中」との返答があったそうです。

トカレフ氏についての言及はなし

そして現地時間10月13日、トカレフ氏は「AppleはiOS15.0.2でこっそり脆弱性を修正したが、私が発見者であることを公表していない」とツイートしました。トカレフ氏によれば、まだ同氏が発見した残り2つの脆弱性は修正されていないとのことです。

憤懣やる方ないトカレフ氏は、Appleとのやりとりのメールの一部を公開しました。

After this I've sent 2 emails to Apple, complaining about lack of credit for gamed and analytics vulns. They replied to the first one pretty fast (6hrs) saying "We ask you treat the following information as confidential". Okay, Apple😂 1/3 https://t.co/OhiJlonWCc

— Denis Tokarev (@illusionofcha0s) October 13, 2021

However, they haven't replied to my second email continuing to ignore my questions about analyticsd vulnerability which I asked exactly a month ago. pic.twitter.com/sFUhMzvAAU

— Denis Tokarev (@illusionofcha0s) October 13, 2021

トカレフ氏が腹を立てているのは、同氏がかなり以前からゼロデイ脆弱性を繰り返し報告していたにも関わらずAppleがそれを無視し続けたこと、そしてようやく修正したと思ったら（報告した4件のうち2件を修正）発見者であるトカレフ氏についての言及が一切ない（クレジットがない）ことです。

iOS15.0.2での修正についてAppleは「匿名の研究者」と記しており、トカレフ氏が自分が発見者であることを訴えても、返答はないままだそうです。

Source:9to5Mac
(lunatic)