24 сентября ИБ-специалист Денис Токарев опубликовал под ником illusionofchaos на «Хабре» информацию о четырёх уязвимостях безопасности, обнаруженных им в iOS. В период с 10 марта по 4 мая он сообщал об этих уязвимостях компании Apple. Та закрыла один баг, а ещё три остались в iOS, причём сотрудники Apple стали игнорировать письма Токарева и не выплатили ему вознаграждение в рамках программы Bug Bounty.

Подписаться на iGuides в Telegram, чтобы узнать обо всем первым — t.me/iguides

Токарев сообщил изданию Vice, что после размещения статьи на «Хабре» компания Apple всё же связалась с ним по электронной почте, попросила прощения за задержку ответа, а также указала, что продолжает исследовать предоставленную им информацию.

По данным Токарева, в iOS 14 и 15 остались уязвимости, которые позволяют тайком от пользователя получить информацию о его электронной почте, привязанной к Apple ID, имени владельца учётной записи, доступ к контактам электронной почты, SMS и iMessage, вложениям в письма и сообщения по URL-адресам, данные о подключении к Wi-Fi и информацию об установленных на устройстве приложениях. Уязвимости работают через Private API, то есть их эксплуатация возможна через приложения, опубликованные в App Store или Test Flight.

Получит ли Токарев вознаграждение за то, что обнаружил в iOS уязвимости, которые Apple не может устранить уже полгода, пока неизвестно. Программа Bug Bounty, запущенная Apple, предусматривает выплату до 100 тысяч долларов за сообщение о серьёзных проблемах в операционных системах компании.