Denis Tokarev เคยออกมาเปิดเผยช่องโหว่ 3 รายการของ iOS ที่ทำให้แอปสามารถอ่านข้อมูลผู้ใช้ได้แม้ไม่ได้รับอนุญาต โดยเขาระบุว่าได้แจ้งแอปเปิลไปล่วงหน้าถึงครึ่งปีแต่แอปเปิลก็ไม่ยอมแพตช์ ล่าสุดใน iOS 15.0.2 นั้นแอปเปิลแพตช์ช่องโหว่ทั้งหมดแล้ว แต่กลับไม่ยอมให้เครดิต Tokarev ในรายงานอัพเดตครั้งนี้
Tokarev เปิดเผยอีเมลที่ได้รับจากแอปเปิลขออภัยในความไม่สะดวกที่ไม่ได้ให้เครดิตเขาในแพตช์ล่าสุด แต่จะใส่เครดิตในอัพเดตหน้าแทน
ปัญหาในการประสานงานระหว่างแอปเปิลและนักวิจัยเป็นปัญหาต่อเนื่อง ที่ผ่านมามีนักวิจัยบ่นกันเรื่อยๆ ว่าแอปเปิลไม่ตอบอีเมล, ได้รางวัลรายงานช่องโหว่ไม่ครบตามเกณฑ์ที่ประกาศไว้, หรือบางครั้งก็ตอบสนองต่อรายงานล่าช้าหลายเดือนเหมือนกรณีของ Tokarev
ที่มา - Bleeping Computer
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
- สงคราม AI 2024: OpenAI ชิงปาดหน้า Google วันเดียว | Cloudnone EP.17
Comments
ถ้าเอาช่องว่างไป ปล่อยในตลาดมืด น่าจะได้ตังเยอะกว่าได้จาก apple ยิ่งอันที่รุนแรง อาจจะเปลี่ยนชีวิตไปเลยเนอะ
ช่องว่างหรือช่องโหว่
ทำไมทำงานกันแปลกๆ
เอเปิล อาจจะมั่นใจว่า ระบบมันปลอดภัยหายห่วงอยุ่แล้ว เลยไม่ต้องรีบแก้ตามที่มีคนแจ้งมา
หรืออาจจะเป็นช่องโหว่ที่ต้องใช้ท่ายากในการเจาะ ก็เลยอาจจะไม่ต้องรีบแก้
อาจจะแค่ลืมเช็คเมลล์
แป๋ว 555
..: เรื่อยไป
บริษัทระดับโลกเขาทำกันแบบนี้
แอบเสียว ๆ นักวิจัยจะควง Tokarev บุกยานแม่แอปเปิ้ล
นักวิจัยก็คิดว่าแจ้งแล้วแอปเปิลจะรีบอุด ตนจะได้เงินรางวัล
แอปเปิลก็รุ้อยู่ว่าหลังจากนักวิจัยแจ้งเข้ามาแล้ว ก็ไม่กล้าเปิดเผย นักวิจัยได้แค่รอ
ถ้าเปิดเผยแอปเปิลก็เตรียมฟ้องเลย อิอิ
มีหลายเคสก่อนหน้านี้ ตัวอย่างก็ project zero เปิดเผยออกมาในกรอบเวลาภายใน 90 วัน แต่ก็ไม่เห็น Apple ฟ้องนะ
เสียดายจัง เลยไม่ดราม่าเลยครับ กรณีเปิดเผยไม่น่าถูกฟ้อง แต่ถ้าเอาไปขายน่าจะเป็นอีกเรื่องใช่มั้ยครับ