蘋果周五推送了iOS 15的修正更新15.0.1，但該版本似乎主要針對(duì)可用性問題，因?yàn)樯现芄_披露的三個(gè)零日漏洞并沒有得到修補(bǔ)。9月，安全研究員丹尼斯·托卡雷夫(化名illusionofcha0s)稱，蘋果公司忽視了多份與新發(fā)現(xiàn)的零日漏洞有關(guān)的報(bào)告，這些漏洞存在于該公司的移動(dòng)操作系統(tǒng)iOS中。

[[427041]]

托卡列夫在一篇博文中說，他在3月10日至5月4日期間向蘋果公司報(bào)告了四個(gè)缺陷，雖然一個(gè)問題在iOS 14.7中得到了修補(bǔ)，但其他三個(gè)仍然處于活躍狀態(tài)。

這位安全研究員周五在Twitter上報(bào)告說，這三個(gè)問題在最新的iOS 15.0.1中仍然存在。

他自己承認(rèn)，剩下的零日漏洞并不緊急，其中一個(gè)涉及到一個(gè)錯(cuò)誤，黑客必須以某種方式騙過蘋果審查人員允許其進(jìn)入應(yīng)用程序商店，才可以使惡意制作的應(yīng)用程序讀取用戶的蘋果ID信息。

不過，蘋果公司對(duì)通過"漏洞賞金計(jì)劃"報(bào)告的這些漏洞的處理方式讓托卡列夫感到很不滿意，他在9月底寫了一篇博文，詳細(xì)介紹了他與科技巨頭團(tuán)隊(duì)的互動(dòng)。據(jù)這位研究人員說，蘋果公司沒有列出它在iOS 14.7中修補(bǔ)的安全問題，也沒有在隨后的安全頁面更新中添加有關(guān)該缺陷的信息。

illusionofchaos當(dāng)時(shí)寫道："當(dāng)我面對(duì)他們時(shí)，他們向我道歉，向我保證這是由于處理問題而發(fā)生的，并承諾在下次更新的安全內(nèi)容頁面上列出它。從那時(shí)起，有三次類似的情況，他們每次都違背了他們的承諾。"

蘋果公司看到了托卡雷夫的博文，并再次表示歉意。該公司表示，截至9月27日，其團(tuán)隊(duì)仍在調(diào)查其余三個(gè)漏洞。托卡列夫上周公開了這些缺陷，以符合道德黑客批評(píng)蘋果公司的Bug Bounty計(jì)劃和該公司對(duì)公共安全研究人員的一般處理方式，稱其缺乏溝通、在賞金支付上也有問題。

本周早些時(shí)候，研究人員Bobby Rauch公開披露了一個(gè)AirTag漏洞，此前蘋果公司沒有回答關(guān)于該漏洞的基本問題，也沒有回答Rauch是否會(huì)因發(fā)現(xiàn)該漏洞而得到獎(jiǎng)勵(lì)。該漏洞允許攻擊者插入代碼，當(dāng)設(shè)備在丟失模式下被掃描時(shí)，可以將用戶重定向到一個(gè)惡意的網(wǎng)頁上。