Ah, o Apple Security Bounty… já sabemos que o programa de recompensas da Apple para bugs e vulnerabilidades nos seus produtos e serviços, mesmo renovado completamente em 2019, continua atraindo críticas severas da comunidade de cibersegurança. E a história mais recente relacionada a ele, do pesquisador conhecido como illusionofchaos, serve para ilustrar mais uma vez como a Maçã parece estar pouco ligando para o trabalho dos especialistas da área.
De acordo com o pesquisador, ele descobriu quatro vulnerabilidades no iOS em março último e repassou suas descobertas à Maçã, num relatório altamente detalhado, no fim de abril. A empresa afirmou que investigaria as questões, e… silêncio. Um mês depois, illusionofchaos mandou duas mensagens à empresa perguntando por avanços sobre o tema; somente alguns dias após o segundo email, a Apple respondeu, afirmando que um dos bugs seria corrigido numa futura atualização de software.
Pulemos para meados de julho, e o iOS 14.7 foi lançado com a correção de uma das vulnerabilidades relatadas pelo pesquisador — uma que permitiria que apps acessassem relatórios de análise gerados pelo sistema. Mas surpresa: na lista de correções de segurança do update, nenhuma menção ao bug relatado por ele — e nenhuma recompensa, portanto. Contatada, a Apple pediu desculpas e creditou a omissão a um erro de processamento; a listagem da vulnerabilidade seria incluída numa futura lista de correções, junto aos devidos créditos.
Não foi o que aconteceu: a vulnerabilidade relatada não apareceu nas listas de correções do iOS 14.7.1, do iOS 14.8 ou do iOS 15. O pesquisador afirmou que levaria sua pesquisa a público caso a Apple não divulgasse a correção e o creditasse devidamente — e assim o fez.
E não é só isso. Lembram que eram quatro vulnerabilidades originalmente relatadas? Pois é: as outras três foram solenemente ignoradas pela Apple e continuam existindo, inclusive no iOS 15.
Uma delas permite que qualquer aplicativo da App Store acesse determinados tipos de dados (como email do usuário, token de autenticação do ID Apple, alguns emails e mensagens de texto de uma determinada base de dados). Outra abre espaço para que apps determinem quais outros aplicativos estão instalados no dispositivo. A terceira permite que apps acessem informações da rede Wi-Fi do aparelho sem receber permissão.
Todas as vulnerabilidades estão profundamente descritas no artigo do pesquisador, que inclui ainda os devidos códigos como prova de conceito das falhas. Admitidamente, não são vulnerabilidades cuja correção é urgente — não se trata de uma falha que abra espaço para um ataque de kernel ou execução remota de códigos, por exemplo. Ainda assim, o silêncio e a falta de ação da Apple chamam a atenção muito negativamente.
Vejamos quais serão os próximos capítulos dessa história, agora que a coisa toda veio à tona, portanto.
