O desenvolvedor brasileiro Henrique Castro acusou publicamente a Apple de não o recompensar após ele reportar uma falha crítica de segurança no iOS através do programa Apple Security Bounty, lançado em 2019.
O MacMagazine teve acesso, com exclusividade, aos documentos que embasam a denúncia feita pelo desenvolvedor, o qual alega ter passado quase um ano em contato com a Apple e, no mês passado, ter visto todo o seu trabalho ser jogado fora.
De acordo com Castro, em junho de 2023 ele comunicou à Maçã que havia descoberto uma brecha que expunha dados sensíveis já apagados nos iPhones. O bug, segundo ele, persistiu do iOS 13 até o iOS 16 — indicando ter passado batido por anos.
Preocupado com o impacto da brecha, Henrique diz ter optado por “agir eticamente e com responsabilidade”, comunicando as evidências à empresa, em vez de disponibilizá-las no mercado ilegal, onde as recompensas costumam ser maiores.
Nossos engenheiros estão investigando a causa raiz do problema que você relatou. Se precisarmos de mais informações suas, adicionaremos um comentário e lhe enviaremos um email.
Apesar de todos os esforços do desenvolvedor — entre eles, o envio de diversos relatórios detalhados e acompanhamentos ao longo de dez meses —, a resposta da Apple foi menos que satisfatória, segundo Henrique.
Estamos trabalhando com nossas equipes de engenharia e temos um plano inicial para resolver o problema.
Em fevereiro passado, após a Apple solicitar a reavaliação da falha, os indícios eram de que ela havia sido resolvida. Surpreendentemente, mesmo após a brecha ter sido investigada por meses e a correção ser planejada para a primavera (no hemisfério norte), a Maçã encerrou o caso, alegando não ter conseguido replicar o problema.
Em 20 de fevereiro de 2024, 264 DIAS depois, o ticket foi atualizado novamente, no qual aparece a estranha mensagem de que […] eles não foram capazes de reproduzir o comportamento relatado no ticket 8 MESES APÓS TODAS ESSAS MENSAGENS E TRABALHO, o qual foi então fechado e lançado ao limbo, desaparecendo com a mensagem de recompensa e desqualificando todo o serviço, disposição e preocupação oferecidos durante esse período!
A declaração de Castro critica a eficácia do Apple Security Bounty e como a companhia (des)valoriza os desenvolvedores que identificam vulnerabilidades. Henrique ainda apontou problemas na comunicação da Apple e a falta da recompensa pela descoberta.
O MM questionou a Apple sobre o caso e atualizaremos este artigo quando (e se) recebermos uma resposta.
