Appleの対応に不満噴出、反発した研究者が相次ぎゼロデイの脆弱性を公表

Appleの対応に不満噴出、反発した研究者が相次ぎゼロデイの脆弱性を公表：この頃、セキュリティ界隈で（1/2 ページ） 安全性とプライバシー重視の姿勢を強調するApple。ところがそのセキュリティ問題への対応を巡って研究者から不満の声が続出している。同社製品にゼロデイ（未知・未解決）の脆弱性を見つけて報告しても反応が鈍く、他社に比べて対応が悪すぎるというのだ。 セキュリティ研究者のillusionofchaosことデニス・トカレフ氏は9月24日のブログで、AppleのiOSに存在する4件の脆弱性に関する詳細を公表した。いずれもAppleのセキュリティバウンティプログラム（脆弱性情報に賞金を支払う制度）を通じて2021年3月10日～5月4日に報告した脆弱性だった。 ところがトカレフ氏によると、そのうち3件は最新バージョンのiOS 15.0でもまだ修正されないままだという。1件は14.7で修正

[Shin-JPN]

脆弱性対応は簡単にいかないのは判るが、そんなこと百も承知のセキュリティ研究者から不満が出ている訳で。GoogleやMSが出来ていて「Appleだけ」指摘されてるとなれば企業体質に問題があるとしか

[kns_1234]

Appleは「ユーザーの個人情報を守るため」と言ってさまざまな変更をしているのに、個人情報の流出に繋がる脆弱性にはなぜか反応が鈍いとのこと。

[bigburn]

セキュリティ研究者と全くやり取りしないわ、脆弱性を認めても報奨金を出し渋るわ、なんでこれほど塩対応なのか理解に苦しむ

[nicht-sein]

賞金プログラムはAppleが提示しているんだから守らないとそういう会社だと思われる。例えばプライバシー情報はクラウドに送りません、と謳っても「言ったことを守らない会社だから実際は送ってるんだろ」とかになる

[hyperash]

AppleはOSを増やしすぎたね。macOS(x86/M1)、iOS、iPadOS、watchOS、tvOS……これくらいかなと思って調べたらHomePod用のaudioOSなんてのも増えてた。どこまできちんと管理できていることやら。

[tecepe]

いやマジそこんところはしっかりやって欲しいからAppleを使っておるのだが…セキュリティって最近はMicrosoftのがしっかりしてる印象。まあWindows Mobileなら死んだけどさ…

[sin20xx]

この問題の本質は無視したというよりも実際には対応したものも報酬を支払わないという対応もしているわけで、結構実態は悪質。無視するのはメーカー側のセキュリティスタンスではあるが未払いは流石にどうかと思うが

[yuyumomo999]

最近Apple反応悪いよね、たぶん対応しないといけない項目が山程あるのだと思う。

[mutinomuti]

“ダークネットで情報を売った方がよいと考える研究者”Appleに関係なく、それを選択肢と考える奴らは最初から売ってるだろう。金のためにやってるんだから(´･_･`)その上でAppleからもせしめようとするんじゃね

[timetrain]

炎上させた方が反応がよくなる、のが現代だなあ

[minamishinji]

Apple、なんかおかしくなってるな。

[alt-native]

研究者の行動に敬意を表する。ユーザーの利益のために動いてくれてる。そして ユーザーは選択を迫られる。Appleを使い続けるか否か。

[tettekete37564]

AirTag の奴は多分 NFC に URL 書き込みが出来るという脆弱性だと思うが、NFC の仕組み的に脆弱性というより仕様としか言いようが無い気が。それで出来ることっていうのがフィッシングサイトへの誘導ぐらい。うーん

[KoshianX]

これが「あたりまえ」と思われてることが感慨深い。昔はこんなことしたら威力業務妨害で逮捕されてたんだよなあ https://srad.jp/story/04/02/04/0531248/

[sudo_vi]

Appleのプライバシー重視みたいな立ち位置、競合が広告会社だからやってるだけなんだよな

[dorje2009]

ちゃんとしてほしい。セキュリティやプライバシーのためにApple製品を使っているので、私の場合。

[chikisio]

たぶんどっかで大規模な情報流出が起きるなぁ。どんなOS、システムにも脆弱性はあるにせよ、Appleへのセキュリティへの信頼が高い(過去のWindowsのやらかしに比べて少ない分)反動がどっかできそうねえ。

[georgew]

Appleの何というか秘密主義の閉鎖的な社風が逆噴射している感。

[IGA-OS]

MicrosoftやGoogleの方がちゃんと対応してる印象はある。

[kamei_rio]

"セキュリティ業界では一般的に、外部の研究者がメーカーに脆弱性を報告してから修正されるまでの期間を3カ月とする目安がある"

[sds-page]

リリカル・トカレフ・キルゼムオール

[ikd9684]

Appleはもうダメかもしんないね。

[spark7]

前者は懸賞金10万ドル相当とは。躍起にもなるか。後者はURL載せられるサービスが全部脆弱って事になっちゃいそうだけど。

[zgmf-x20a]

その一方で、いきなりメールアドレス登録しないと使わせないとか言ってくるのにね。

[milkmeta]

id:icloudy ←Appleの不手際が問題視されてるのに「テロ行為」って擁護するにも無理筋すぎるわ

[Hiro0138]

林檎のサポート体制がクソなのは今に始まった事じゃないと思うが

[soyokazeZZ]

Apple Parkあたりから評判良くないよね。風水わるいんじゃない？

[doko]

せっかく善意でやってくれてるんだからまずは「受理しました」くらいの応答はしたらいいじゃないと思う

[manjirou99]

appleはMacOSで簡単に第三者がルート取得できる状態で出荷したりセキュリティ高いのは広告イメージの中だけで実際はセキュリティの品質ボロボロな気がする。OSS以外の企業ソフトで品質高いのMS位。Gも端末側は怪しい

[sigwyg]

セキュリティがどうの以前に、企業が制度として後悔している約束を守らないってっことだからなー

[psne]

(なるほどそういうコメント…)

[NOV1975]

通報しても対応されないものを公表しないと別の見つけたやつが悪用することを知らしめられないからな。当たり前の話ではある。

[Falky]

ダメだねえ

[wideangle]

おもしろくなってきた。

[mohno]

Appleは「ユーザーが少ないから（攻撃するメリットがなくて）攻撃されにくい」ことを「安全」って言うからね、昔から→https://japan.zdnet.com/article/20390270/ 今でも「Appleは安全」って言ってる人はよく訓練された犬と(文字数)

[sotokichi]

儲かりまくってカネは有り余ってるんだから報奨金出し渋ってるんじゃないよ。

[satomi_hanten]

Appleのソフト面軽視は今に始まったことじゃないからなぁ。基本的に他社の技術を買ってるだけの会社なので、単純に処理しきれてない可能性も高い。

[yamadar]

アップルの株価は好調だけど築き上げたブランドの収穫期という感じで、魅力は感じなくなったなぁ。

[digits_sa]

Apple側の問題として考えられるのは「外部から脆弱性の報告を受け取る部門と製品の開発・変更に携わる部門が別のため社内の秘密保持対策によって早急な連携が不可能になっている」

[queeuq]

最近というかまぁ昔からなきがするが。プライバシー保護という建前は自らのドル箱であるサンドボックスを守るために消費者を盾にしてるだけと思っていて信頼していない。