Apple'ın güvenlik ödül programını yönetim şeklinden bıkmış olan bir siber güvenlik araştırmacısı, iOS 15'teki üç sıfırıncı-gün güvenlik açığını yayınladı. Yalnızca IllusionOfChaos takma adıyla tanınan araştırmacı, eyleminin Apple'ın güvenlik açıklarını düzeltme konusundaki eylemsizliğine yanıt olarak olduğunu söyledi.
Araştırmacı, "Bu yıl 10 Mart ile 4 Mayıs arasında dört sıfırıncı-gün güvenlik açığı bildirdim, şu an itibariyle bunlardan üçü en son iOS sürümünde (15.0) hala mevcut ve biri 14.7'de düzeltildi, ancak Apple bunun üstünü örtmeye ve güvenlik içeriği sayfasında listelememeye karar verdi" diye yazdı.
Araştırmacı, Apple'ın yanıtları için başlangıçta özür dilemesine rağmen, daha sonra on gün içinde güvenlik açıklarıyla ilgili ayrıntıları paylaşmakla tehdit ettiğinde e-postasına yanıt bile vermediklerini ekledi. Ayrıca, gönderide Apple'ın ilk e-postasında şirketin bir "işleme sorunu" nedeniyle güvenlik açıklarını kamuya açıklayamadığını iddia ettiğini de belirtti.
Araştırmacı "Onlarla yüzleştiğimde özür dilediler, bunun bir işleme sorunu nedeniyle olduğuna dair güvence verdiler ve bir sonraki güncellemenin güvenlik içeriği sayfasında listeleyeceklerine söz verdiler. O zamandan beri üç sürüm çıktı ve her seferinde sözlerini bozdular" diyor.
IllusionofChaos daha sonra Apple'a hataları düzeltmede devam eden uyuşukluğun nedenini açıklamak için on gün verdi ve ayrıntıların zaman diliminin bitiminden sonra paylaşılacağı konusunda onları uyardı. Apple yanıt vermediğinden, tüm araştırmalar artık çevrimiçi olarak paylaşıldı.
Güvenlik açıklarının ayrıntılarını ve bunların tümü için PoC yararlanma kodunu paylaşan araştırmacı, durumu "talebim göz ardı edildi, bu yüzden yapacağımı söylediğim şeyi yapıyorum. Eylemlerim, sorumlu ifşa yönergelerine uygundur (Google Project Zero, güvenlik açıklarını satıcıya bildirdikten sonra 90 gün içinde, ZDI 120 gün içinde açıklar). Çok daha uzun süre bekledim, açıklıklardan birinde yarım yıla kadar" diye açıklıyor.
İlginç bir şekilde, anonim bir jailbreak geliştiricisi, açıklandıktan ancak bir gün sonra, üç güvenlik açığını da çözdüğünü iddia ediyor.