iOS 14.4 załatał trzy poważne luki, które wg Apple były wykorzystywane. Ktoś anonimowy je do Apple zgłosił i najprawdopodobniej otrzymał sporą nagrodę z programu „Bug Bounty”. Takim zgłaszającym możesz być i Ty!

Skomplikowanie i banalne „podatności”

Niektóre podatności w systemach są tak skomplikowanie, że nie jest na nie łatwo „wpaść”, ale i często, też również nie jest łatwo z nich skorzystać. Jednak są i inne, które wynikają z banalnych błędów przy programowaniu, jak niesławne niezabezpieczone „konto roota” kilka wersji macOS temu. Kolejne błędy wynikają z niemożliwości przewidzenia wszystkich zachowań, które pojawiają się, gdy system trafi w ręce użytkowników. Poniższy film to dobrze ilustruje.

Dlatego, nawet jeżeli nie masz wybitnej wiedzy programistycznej, czy z zakresu „IT”, masz szansę natrafić na coś, co jest niebezpieczne dla systemu i użytkownika. Jednak jeżeli już się na ślad potencjalnej lub faktycznej luki bezpieczeństwa trafi, to co z tym zrobić?

Zgłaszanie luki w zabezpieczeniach lub systemie ochrony prywatności

Apple na tą okazję stworzył specjalną stronę i adres mailowy. Uwaga: należy tam zgłaszać tylko problemy związane z zabezpieczeniami. Nie jest to miejsce dla skarg i wniosków. Takie problemy zgłasza się na feedbackassistant.apple.com.

Na stronie „Zgłaszanie luki w zabezpieczeniach lub systemie ochrony prywatności”, Apple skrupulatnie opisuje procedurę i to w języku polskim. Należy przygotować informacje na temat nazwy i dokładnej wersji systemu lub aplikacji, opisać zaobserwowane niebezpieczne zachowanie i dołączyć ponumerowaną listę kroków koniecznych do jego wywołania. Dodatkowo można dodać film lub inne pliki. Całość wysyła się mailem na wskazany w opisie adres. Jeżeli załączane są wrażliwe informacje, można treść zaszyfrować przy pomocy klucza PGP serwisu Bezpieczeństwa produktów Apple. Na dole wskazanej strony znajdziecie informacje o programie Bug Bounty Apple, czyli szansie na grubszą kasę.

Miłego polowania na pluskwy!