大頭症？蘋果不理會安全漏洞回報　資安人員怒揭3處缺失

國外資安人員在今年3至5月時先後向蘋果通報4處關於iOS15的漏洞，根據資安界慣例，蘋果應該要承認漏洞並且公開資安人員的回報且提供對應獎金，但蘋果僅處理其中1項漏洞，且沒有公開其貢獻，甚至另3處漏洞遲遲未修正，該名資安人員對此不滿，直接公開剩餘3處漏洞。

暱稱「IllusionOfChaos」的資安人員指出，在2021年3至5月間向蘋果回報4處關於iOS 15的安全漏洞，其中1處名為「Analyticsd」，主要關於App在未經用戶同意下可以自行存取iPhone的隱私iOS分析資訊。

雖然蘋果已經在7月的更新中修正，但在公告中並未提及他的貢獻，因此向蘋果反應，蘋果承諾在下次更新會補上資訊，但蘋果在接下來3次更新都沒有履行。

且剩餘3處安全漏洞也未見蘋果進行處理，根據資安界回報安全漏洞的緘默期慣例，Google為90天、ZDI（Zero Day Initative）為120天，但從回報至今已經超過上述的時限。

其中1個名為「Gamed 0-Day」的漏洞，甚至可以允許App Store下載非經授權的Apple ID、信箱、帳號、驗證以及聯絡人資料庫等，讓iPhone的隱私全都被擷取。

因此「IllusionOfChaos」就在上週公開漏洞，蘋果一直到週日才聯繫，表示內部已經在處理漏洞，並對於遲未回應感到抱歉，將會妥善處裡；不過資安社群有用戶透露，蘋果此舉已經不是第一次，常會選擇性忽略安全漏洞回報。