Apple se ha disculpado con un investigador de seguridad que detalló sus «frustrantes» experiencias al tratar con la compañía, después de que este revelara errores en el sistema operativo iOS.
Apple ha sido criticada por la supuesta mala gestión de las alertas de vulnerabilidad de seguridad que se notifican a través de su programa de recompensas por errores. Los investigadores afirman que esto es síntoma de que el programa de recompensas por errores de la compañía está plagado de complicaciones, desde una mala comunicación hasta problemas de pago no resueltos.
En el posteo del investigador de seguridad Denis Tokarev, afirma haber informado de cuatro vulnerabilidades de día cero en el sistema operativo móvil iOS de Apple. Los días cero se refieren a nuevos errores o fallos de seguridad en el sistema para los que no hay parches disponibles actualmente.
Tras informar de los problemas a Apple, Tokarev dice que ésta ignoró tres de ellos y sacó un parche para el cuarto. Pero cuando se publicó la última versión de iOS, la 15.0, el parche no aparecía en la página de contenidos de seguridad de la compañía, y Tokarev no recibió ningún crédito.
Los fallos investigados por Tokarev permitían a las apps leer datos de los usuarios, como las listas de contactos y el correo electrónico del ID de Apple, además de otra información de identificación personal.
Tokarev pidió una explicación, y los representantes de la empresa le informaron que se enfrentaban a un problema durante la inclusión en la lista y que lo solucionarían pronto. Pero llegaron tres nuevos lanzamientos sin que se mencionara la actualización de seguridad, tras lo cual Tokarev decidió hacer públicos los detalles de su investigación.
«Hemos visto su publicación en el blog sobre este problema y sus otros informes. Nos disculpamos por el retraso en responderle», dijo Apple a Tokarev tras su posteo. «Queremos hacerle saber que todavía estamos investigando estos problemas y cómo podemos abordarlos para proteger a los clientes».
En cuanto a los otros tres días cero, un desarrollador de jailbreakers ha afirmado haberlos solucionado, según una actualización en el blog de Tokarev. Los fallos que descubrió Tokarev no eran críticos, ya que necesitaban que una app maliciosa accediera a la App Store antes de aprovecharse de la información del usuario.
Pero la forma en que Apple manejó el asunto es lo que irritó a Tokarev, quien mencionó a varios otros investigadores de seguridad que también estaban frustrados con el programa de recompensas por errores de Apple.
Los programas de caza de errores permiten a los hackers éticos y a los especialistas en ciberseguridad cobrar por descubrir fallos en sistemas y redes. Muchas grandes empresas llevan a cabo estos programas para garantizar la seguridad de sus usuarios. Apple lanzó su programa en 2016, pero los investigadores han culpado a la «cultura aislacionista» de la compañía por la escasa comunicación y la gran acumulación de errores aún por parchear.
«Tienes que tener un mecanismo de corrección de errores interno saludable antes de que puedas intentar tener un programa de divulgación de vulnerabilidades de errores saludable», dijo la CEO de Luta Security, Katie Moussouris, a The Washington Post. «¿Qué esperas que ocurra si te informan de un fallo que ya conocías pero que no has solucionado? ¿O si informan de algo que te lleva 500 días arreglar?».
Apple no respondió inmediatamente a una solicitud de comentarios.
Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí
Cómo puede usted ayudarnos a seguir informando
¿Por qué necesitamos su ayuda para financiar nuestra cobertura informativa en Estados Unidos y en todo el mundo? Porque somos una organización de noticias independiente, libre de la influencia de cualquier gobierno, corporación o partido político. Desde el día que empezamos, hemos enfrentado presiones para silenciarnos, sobre todo del Partido Comunista Chino. Pero no nos doblegaremos. Dependemos de su generosa contribución para seguir ejerciendo un periodismo tradicional. Juntos, podemos seguir difundiendo la verdad.
