משתמשים שהורידו מאז יום שני שעבר את הגרסה החדשה של מערכת ההפעלה לאייפון עשויים לחשוב שעתה הם מוגנים מכל פרצת אבטחה הידועה לאפל – אך עתה מתברר שזה לא נכון כלל.

בסוף השבוע חשף חוקר אבטחה רוסי, המכנה את עצמו IllusionOfChaos, לא פרצת אבטחה אחת, אלא שלוש, שכולן דווחו לדבריו לאפל כבר לפני חודשים, אך מסיבות השמורות עמה היא בחרה שלא לתקן אותן.

לדברי החוקר, הוא מצא בגרסאות הבטא של iOS 15, שהושקה לפני פחות משבוע, לא פחות מארבע פרצות אבטחה מסוג "יום אפס" – כלומר כאלו שהאקרים כבר גילו והחלו לנצל, ולכן ברגע שהן מדווחות לחברה שבתוכנה שלה הן נמצאות היא חייבת לתקן אותן במהירות האפשרית.

אלא שאפל לא רק שלא תיקנה אותן במהירות האפשרית, אלא בחרה לתקן אחת מהן בלי לחשוף את עצם קיומה, ומשלוש האחרון התעלמה לחלוטין. זאת למרות שמאז הדיווח על הפרצות – בין 10 במרץ ל-4 במאי השנה – ועד שחרור הגרסה הסופית של מערכת ההפעלה החדשה למשתמשים, עברו לא פחות מ-143 ימים, והחברה הוציאה בזמן הזה מספר עדכוני אבטחה.

"דיווחתי על ארבע פרצות (מנוצלות) השנה בין 10 במרץ ל-4 במאי, ונכון לרגע זה שלוש מתוכן עדיין נמצאות בגרסה האחרונה של iOS 15 ו(רק) אחת תוקנה ב-14.7, אך אפל החליטה להסתיר זאת ולא לציין את זה בעמוד (המפרט את) תוכן (עדכון) האבטחה. כשהתעמתּי איתם, הם התנצלו, הבטיחו לי שזה קרה בעקבות בעיית עיבוד והבטיחו להוסיף את זה לרשימת עמוד תוכן האבטחה בעדכון הבא. מאז היו שלוש גרסאות והם הפרו את הבטחתם בכל פעם". הוא הדגיש כי בתעשייה מקובל לחכות בין 90 ל-120 יום בין הודעה לחברה על פרצה בתוכנה שלה ועד לפרסומן קבל עם ועולם

פרצה אחת אפשרה לאפליקציות גישה לכתובת המייל של המשתמש, שמו המלא, אסימון הזיהוי בחשבון אפל (קוד ארוך שמאפשר זיוף גישה), וגישה לאנשי הקשר; פרצה שנייה אפשרה להן לבדוק אילו אפליקציות אחרות מותקנות על המכשיר; ופרצה שלישית אפשרה לאפליקציות גישה לווייפיי בלי צורך לבקש לשם כך הרשאה, במידה והמשתמש אישר להן גישה למיקום. "כל המידע הזה נאסף וזמין לתוקף גם אם (אפשרות) 'שיתוף אנליטיקה' בהגדרות מכובה", הוא ציין.

פטריק ווארדל, מייסד פרויקט האבטחה Objective-See (בדיחה על שמה של אחת משפות התכנות הפופולאריות בעולם) ומנהל המחקר בחברת האבטחה Synack, אמר לאתר הרג'יסטר כי "כל אפליקציה שניסתה לנצל את הפרצות הללו) צריכה קודם להיות מאושרת על ידי אפל (מה שלכאורה לא סביר שיקרה). עבורי, המסר העיקרי הוא שאפל מוציאה (גרסאות של) iOS עם תקלות ידועות, ושחוקרי אבטחה כל כך מתוסכלים מתוכנית התשלום למוצאי באגים שהם מוותרים עליה ומסרבים לקחת כסף, כדי לפרסם אותם בחינם ברשת. זה לא שלאפל אין את המשאבים או הכסף לתקן את זה – ברור שזו פשוט לא עדיפות אצלם. לדעתי, הסיבה היסודית היא שהגאווה של אפל מפריעה. (...) כולם שם שתו את מיץ התפוח, ומאמינים שהדרך שלהם היא הדרך הנכונה, שהם אינם זקוקים לעזרה מבחוץ".