Кoмпaния Apple выпустилa нoвую вeрсию мoбильнoй oпeрaциoннoй систeмы iOS 12.1.4, кoтoрaя устрaняeт прoблeмы бeзoпaснoсти в рaбoтe функции Group FaceTime. Этa oшибкa былa выявлeнa нa прoшлoй нeдeлe. Она обеспечивала звонящему абоненту незаявленную возможность подслушать посредством микрофона и даже подсмотреть за человеком по другую сторону линии до того, как тот примет вызов. Теперь данный сбой устранён, и подслушивать или подсматривать за собеседниками не получится.
После публикации сведений о наличии указанной проблемы в групповых звонках FaceTime компания Apple быстро деактивировала данную функцию на серверной стороне. Но фактически Apple знала о проблеме как минимум за несколько недель до того и никак не реагировала на неё до публичного разглашения информации. Пока неизвестно, как долго существовала данная проблема. Отметим, функция Group FaceTime появилась вместе с выходом версии iOS 12.1 около 3 месяцев назад. Возможно, баг существовал с тех пор.
Помимо указанной ошибки, связанной с функцией Group FaceTime, Apple устранила уязвимость в функции Live Photos в FaceTime. Это потребовало внесения исправлений как в само приложение, так и в серверную часть работы сервиса. Это исправление также включено в состав обновления iOS 12.1.4.
Вместе с тем, стало известно, что Apple выплатит компенсацию 14-летнему подростку, который первым выявил уязвимость в групповых звонках FaceTime. Первой об ошибке заявила Мишель Томпсон после того, как её 14-летний сын Грант обнаружил возможность добавления пользователя в вызов Group FaceTime и принудительного инициирования ответа. Первоначально Apple не спешила с ответом, но теперь она действительно приписывает обнаружение бага Гранту Томпсону из Catalina Foothills High School. Компания заявила, что она выплатит вознаграждение семье Томпсонов за выявление уязвимости, а также предоставит дополнительный подарок, чтобы профинансировать обучение Гранта. Но при этом не уточняется, о какой сумме идёт речь.
Добавим, Apple внедрила программу выплаты вознаграждений за выявленные ошибки в iOS около 3 лет назад. Но исследователи не спешат сотрудничать с Apple. Дело в том, что компания предлагает выплату вознаграждения в сумме до $200 тыс. за выявленные уязвимости. Однако продать сведения о рабочей уязвимости в продуктах Apple «на сторону» зачастую бывает более выгодно в денежном плане, чем уведомить об этом разработчика.
Вместе с тем, ранее на этой неделе один из исследователей заявил о нахождении уязвимости в macOS, но отказался передавать сведения о ней компании Apple. Он требует, чтобы компания выплачивала вознаграждения исследователям за выявление таких ошибок в macOS, но пока что действие программы распространяется только на iOS.
Источник: The Verge 1, 2