Denis Tokarev นักวิจัยความปลอดภัยเปิดเผยช่องโหว่ช่อง 3 รายการของ iOS กระทบถึง iOS 15.0 ทำให้แอปในเครื่องสามารถเข้าถึงข้อมูลผู้ใช้โดยไม่ได้รับอนุญาต โดยเขาส่งรายงานไปยังแอปเปิลในช่วง 10 มีนาคม ถึง 29 เมษายนที่ผ่านมา แต่แอปเปิลกลับไม่แพตช์ช่องโหว่เหล่านี้

แอปเปิลตอบกลับ Tokarev ครั้งสุดท้ายเมื่อวันที่ 25 สิงหาคมที่ผ่านมา และเขายื่นคำขาดว่าจะเปิดเผยช่องโหว่ในวันที่ 13 กันยายน (เขาเปิดเผยซอร์สโค้ดในวันที่ 24 กันยายน) หลังจากช่องโหว่ถูกเปิดเผยแล้วทางแอปเปิลจึงติดต่อกลับ พร้อมกับขออภัยที่ตอบล่าช้าและระบุว่ากำลังสอบสวนช่องโหว่นี้อยู่

ที่ผ่านมาแม้แอปเปิลจะมีโครงการรายงานช่องโหว่ได้รางวัล (bug bounty) แต่ก็มีนักวิจัยบ่นถึงความล่าช้าในการประสานงานอยู่เรื่อยๆ รวมถึงแนวทางการดึงเวลาการรายงานช่องโหว่ และอาศัยการกดดันระหว่างบริษัทเพื่อให้มีเวลาแพตช์นานขึ้น

ชุดช่องโหว่ทั้ง 3 รายการ ได้แก่ 1) Gamed 0-day ทำให้แอปรู้อีเมลและชื่อผู้ใช้, เข้าบริการแอปเปิลแทนผู้ใช้, อ่านฐานข้อมูลรายชื่อติดต่อในเครื่อง 2) Nehelper Wifi Info ทำให้แอปอ่านข้อมูล Wi-Fi ได้โดยไม่ได้รับอนุญาต 3) nehelper enumerate ทำให้แอปสามารถตรวจสอบได้ว่ามีแอปใดติดตั้งอยู่ในเครื่องบ้าง

ที่มา - 9to5mac