A héten indult el az iOS 15 operációs rendszer, és egy biztonsági szakértő azzal „ünnepelte” meg ezt az eseményt, hogy megosztott egy olyan felvételt, amin többféle módszerrel is kijátssza a lezárt képernyőt. Nagyon egyszerűen jár el, miközben igen komoly hozzáférést szerez, szóval egy kritikus hibáról beszélhetünk.
Az operációs rendszerben rejlő sérülékenységet pillanatok alatt ki lehet játszani, a problémáról közölt videó sem hosszabb 5 percnél. Az illetéktelenek könnyűszerrel hozzáférhetnek a futó alkalmazásokhoz, és érzékeny felhasználói adatokat szerezhetnek meg a sérülékenységet kihasználva.
Még a Sirivel is beszélgetésbe lehet elegyedni a képernyőzár kijátszását követően.
A lezárt képernyő egyszerű megkerülhetőségét Jose Rodriguez tárta a világ elé, és lényegében bosszúból tette, ami egyáltalán nem helyes, elítélendő dolog, de megvolt az oka arra, hogy így járjon el.
A The Recordnak adott interjújában elmondta a hibavadász, hogy az Apple lekezelően bánt vele, nem úgy honorálta a munkáját, ahogy az ilyen esetkben szokásos. Rodriguez elmondása szerint a cupertinóiak mindössze 5000 dollárt fizettek neki a feltárt sérülékenységért cserébe, pedig véleménye szerint ennél ötször nagyobb összeg járt volna neki. A szakember szerint az Apple ilyen súlyos sebezhetőségeknél 25 000 dollárt szokott fizetni.
A sérülékenységek a CVE-2021-1835 és a CVE-2021-30699 azonosítók alatt futottak, és ezeket az Apple még áprilisban és májusban kijavította. De akkor miért működik ez még most is? Nos, ez a történet másik fele, amire Jose Rodriguez ugyancsak szerette volna felhívni a figyelmet. Egyrészt az Apple nagyjából egy hónapig ült a hibán, mire megoldotta azokat, szóval nem siette el a dolgot, másrészt nem is volt kellően körültekintő. Pontosan azt a módszert tényleg kiküszöbölte, amit annak idején Rodriguez feltárt, de kiderítette közben, hogy a módszeren minimálisan változtatva a sebezhetőség továbbra is megmaradt.
Tehát az Apple nemcsak, hogy túl lassan javítja a sebezhetőségeket, nem is igazán járja teljesen körül a dolgot, és valószínűleg más esetekben is megeshet, hogy csak félig-meddig sikerül kijavítani egy hibát. Azt is hozzátette a bugvadász, hogy a vállalat nem is adott neki tájékoztatást a sérülékenységgel kapcsolatosan, szóval nem jelezték neki, hogy javították, amit felfedezett.
Egyébként nem most először éri kritika az Apple hibakezelési rendszerét. Mások is felemelték már a hangjukat korábban ebben az ügyben. Rendszeresen érik kiritkák a vállalat azért, ahogyan a bugvadász programját működteti. Nem Rodriguez az első, aki azt tapasztalja, hogy felületesek a javítások, sokszor maranak hiányosságok az Apple szakembereinek munkája után, és az is megerősítést nyert, hogy hetekig, de akár hónapokig is nyitva maradnak jelentett rések. Ha pedig valaki panaszkodik, akkor könnyen lehet, hogy egyszerűen kitiltásra kerül, és a továbbiakban nem remélhet fizetséget a munkájáért.
