Un investigador de seguridad llamado Denis Tokarev ha hecho públicas tres vulnerabilidades críticas de iOS en su web. Lo hace porque tras haberlas enviado a Apple para que comprobaran los agujeros, sus mensajes han sido ignorados.
Sólo después de que él hiciera públicos estos problemas de seguridad y de que se hicieran eco varias webs importantes, ha sido cuando Apple ha contestado sus mensajes, primero para pedirle disculpas por la tardanza, y segundo para contarle que aún están investigando esas vulnerabilidades.
Una de ellas, fue corregida en la actualización a iOS 14.7, pero Apple no le dio crédito a Tokarev por su descubrimiento, quizás porque identificaron el problema por si mismos o porque se lo dio a conocer otra persona… o quizás, porque simplemente ignoraron el email de Tokarev, aunque eso es menos probable, ya que Apple tiene un interesante programa de recompensas por encontrar vulnerabilidades de iOS desconocidas por ellos y no hechas públicas. Es gracias a este programa que algunos investigadores como Tokarev pueden conseguir varias decenas de miles de euros, o incluso cientos de miles, si encuentran una vulnerabilidades realmente grave, con acceso remoto, y sin que el usuario se haya dado cuenta. Éstas son las más peligrosas, y también las más interesantes para Apple. Al mismo tiempo, son las más difíciles de encontrar.
Tras el revuelo que ha causado su publicación, al menos ha conseguido ese email de Apple en el que le piden disculpas por su tardanza en contestar, pero en su artículo cuenta que han tardado seis meses en decirle algo, y que sólo tras haberse hecho notoriamente público, se han puesto en contacto con él. Tokarev cuenta con todo tipo de detalles cada día que ha intentado ponerse en contacto con Apple, sin conseguir una respuesta.
Lo más WTF de todo, es que tras publicar estas vulnerabilidades, otro desarrollador ha publicado un parche que las corrige en tan sólo 24 horas, aunque hace falta tener el Jailbreak hecho para poder instalarlo. Es extraño por lo tanto que en Apple tarden semanas, o meses, en verificar los métodos que detalla Tokarev para conseguir acceder a datos de un iPhone sin contraseña, y por lo tanto, sin permiso.
¿Cómo es posible que ocurra todo esto? Primero que les envíen tres vulnerabilidades importantes con todo tipo de detalles explicándolas, y no sólo no las arreglan debidamente pronto, sino que ni siquiera contestan a la persona que las envía, incluso a pesar de tener un programa de recompensas para incentivar que reciban precisamente este tipo de información, en lugar de hacer el problema público, algo que sí que podría tener consecuencias más graves.