IT小僧のブラック時事放談

デニス・トカレフ氏が指摘したゼロデイ脆弱性をAppleがこっそりと修正

2021年10月16日

GAFAMのエンジニア思考Appleは、iPhoneなどで重大なバグを見つけた人に報奨金を与える制度があります。
その賞金は、マックスで1億円

多くの人が、バグを報告しているので Appleは、しれっと修正して 報告者にカネどころか連絡もしていないという。

なんという 強欲な連中だ!

今回のIT小僧のブラック時事放談は、
デニス・トカレフ氏が指摘したゼロデイ脆弱性をAppleがこっそりと修正
と題して、開発者のデニス・トカレフ氏が7カ月前に報告していたGame Centerに関するゼロデイ脆弱性もひっそりと修正していた件について考えてみよう。

最後まで読んでいただけたら騒いです。

デニス・トカレフ氏

まずは、この記事をみてみよう

Appleは2021年10月12日に「iOS 15.0.2」をリリースしました。iOS 15.0.2ではゼロデイ脆弱性などが修正されているのですが、開発者のデニス・トカレフ氏が7カ月前に報告していたGame Centerに関するゼロデイ脆弱性もひっそりと修正されていたことが明らかになっています。

Apple silently fixes iOS zero-day, asks bug reporter to keep quiet
https://www.bleepingcomputer.com/news/apple/apple-silently-fixes-ios-zero-day-asks-bug-reporter-to-keep-quiet/

 

今回Appleが密かに修正したのは、開発者のトカレフ氏が2021年3月から5月にかけて報告した4件のゼロデイ脆弱性のうちのひとつである「Game Centerに存在するというゼロデイ脆弱性」です。トカレフ氏は自身が報告したゼロデイ脆弱性が数カ月にわたりAppleに放置されたままであったため、2021年9月にその詳細を公開しました。

トカレフ氏が報告したゼロデイ脆弱性は、2021年8月にリリースされたiOS 14.7以降、複数回にわたり修正されてきました。しかし、Appleはゼロデイ脆弱性を修正したことを公式のリリースノートに記載することはありませんでした。

トカレフ氏がゼロデイ脆弱性がアップデートの詳細に含まれていない理由を尋ねたところ、「(トカレフ氏が報告したゼロデイ脆弱性を修正したことを公に説明できていない理由は)処理の問題であり、今後のアップデートでセキュリティアドバイザリにクレジットを含めて記述される予定です。ご不便をおかけして申し訳ありません」とAppleは説明したそうです。

そして今回、iOS 15.0.2の中でトカレフ氏が報告していた「Game Centerに存在するというゼロデイ脆弱性」がサイレント修正されました。トカレフ氏は自身が報告した「Game Centerに存在するというゼロデイ脆弱性」がまたしてもサイレント修正されていることに気づいたため、再びAppleに説明を求めるメールを送信したそうです。その際、Appleはトカレフ氏に対して「メールのやり取りを機密に扱うように」と求めてきたとのこと。

https://gigazine.net/news/20211014-apple-silently-fixes-ios-zero-day/

トカレフ氏が、見つけた重大な問題点報告したのにもかかわらずAppleが本人にも知らせず しれっと修正していた。
というわけです。

被害は、トカレフ氏だけではありませんでした。

 

Appleはセキュリティへの取り組みの一環として、バグを発見・共有したセキュリティ研究者に対して報酬を支払う「Apple Security Bounty」というバグ報酬プログラムを展開しています。しかし、同プログラムには批判の声も多く、「未修正のまま脆弱性が放置されている」や「報奨金が不当に減額されている」といった事例が報じられてきました。こういった事例に続く形で、iOSに関する4つのゼロデイ脆弱性を発見したセキュリティ研究者のillusionofchaosさんが、Appleのバグ報酬プログラムを痛烈に批判しています。

Disclosure of three 0-day iOS vulnerabilities and critique of Apple Security Bounty program / Habr
https://habr.com/en/post/579714/

https://gigazine.net/news/20210927-ios-vulnerabilities-apple-security-bounty-program/

ここに登場する illusionofchaos氏は、2021年3月10日から5月4日までの約2カ月間で、iOSに関する4つのゼロデイ脆弱性を発見・報告したのですが、1つしか修正されていないため Appleに連絡

「回答がない場合はゼロデイ脆弱性を公開すると警告するぞ」

これをAppleは、無視

というわけで
「ゼロデイ脆弱性の詳細を公開することにした」

発表されたのは以下の3つ

◆ゲームに関するゼロデイ脆弱性
GitHub - illusionofchaos/ios-gamed-0day
https://github.com/illusionofchaos/ios-gamed-0day

◆Nehelperに関するゼロデイ脆弱性
ユーザーがインストールしたアプリが、任意のIDを指定することで端末にインストールされている他のアプリを特定できてしまうというゼロデイ脆弱性。

GitHub - illusionofchaos/ios-nehelper-enum-apps-0day
https://github.com/illusionofchaos/ios-nehelper-enum-apps-0day

◆Nehelper Wi-Fiに関するゼロデイ脆弱性
特定の条件を満たしたアプリがユーザーの許可なくWi-Fi情報にアクセスできるようになってしまうゼロデイ脆弱性。

GitHub - illusionofchaos/ios-nehelper-wifi-info-0day
https://github.com/illusionofchaos/ios-nehelper-wifi-info-0day

illusionofchaosさんが公開したゼロデイ脆弱性について、Objective-Seeの創設者であり自身もセキュリティ研究者であるというPatrick Wardle氏は、「(illusionofchaosさんが報告した)バグはきちんと動作するものの、広く悪用される可能性は低いです。そもそも、これらのゼロデイ脆弱性を悪用しようとするアプリは、まず最初にAppleの承認を得てApp Storeで配信される必要があります」と語り、ゼロデイ脆弱性を悪用するアプリが登場することには懐疑的です。一方で、Wardle氏は「私がより問題であると感じるのは、Appleが既知のバグを含むiOSをそのままリリースしているという点です」と語り、既知のゼロデイ脆弱性を残したままiOSのアップデートを続けるAppleの対応を批判しています。

https://gigazine.net/news/20210927-ios-vulnerabilities-apple-security-bounty-program/

バグに関しては、このような見解ですが、

「無視しては、いけませんぜ 旦那(Apple)」

Wardle氏はセキュリティ研究者がAppleのバグ報酬プログラムに不満を示していることに理解を示し、「Appleにはセキュリティ研究者から報告されるバグや脆弱性を修正するのに十分なリソースや資金があります。しかし、明らかにバグの修正はAppleにとっての優先事項ではないようです」と述べ、Appleの対応を改めて批判しています。

https://gigazine.net/news/20210927-ios-vulnerabilities-apple-security-bounty-program/

 

Appleが、バグと認識しなかったのか? それとも 意味がわからなかったのかわかりませんが、

トカレフ氏のように無視したあげく しれっと修正、報告なし もちろん報奨金もなし
というのは、いかがなものか?

まとめ

Appleは、とてつもなく儲けているんだから きちんとカネ払ったらいかがですか?
1億といわなくても 数千勘なら 端金(はしたがね)でしょAppleさん

それとも、現場のエンジニアが、上に報告したくなかった・・・

Appleは、前回記事に書いたように
横どころか、縦の繋がりも希薄で 縦割り構造の会社らしいですから

こうした 現場の問題をきちんと共有していないと そのうち 大きな問題が発生する可能性が高くなります。
上司に報告すると査定がおちるので握りつぶす

縦割り社会でよくある話です。

-IT小僧のブラック時事放談
-,

Copyright© IT小僧の時事放談 , 2021 All Rights Reserved Powered by AFFINGER5.