В начале текущей недели стало известно, что баг в FaceTime позволяет звонящему получить доступ к чужим микрофону и камере, даже если на звонок вообще не ответили. Из-за этой проблемы разработчики Apple были вынуждены экстренно увести в оффлайн Group FaceTime, чтобы защитить пользователей от массовой эксплуатации бага.
Как выясняется теперь, первым проблему обнаружил 14-летний подросток из Аризоны Грант Томпсон (Grant Thompson), и это произошло больше недели назад, 19 января 2019 года. Подросток играл в Fortnite и координировал свои действия с друзьями через групповой звонок FaceTime, когда случайно добавил сам себя к разговору и обнаружил опасный баг.
Мать Гранта, Мишель Томпсон (Michele Thompson), попыталась уведомить разработчиков Apple об опасной ошибке всеми возможными способами. В Twitter женщина писала, что уже направила компании баг-репорт, вкратце описывала саму проблему и утверждала, что у них с сыном есть видео, демонстрирующее эксплуатацию ошибки в деле. Кроме того, Мишель направила аналогичное сообщение в Facebook, написала письмо в Apple, направила факс и позвонила в поддержку компании.
My teen found a major security flaw in Apple’s new iOS. He can listen in to your iPhone/iPad without your approval. I have video. Submitted bug report to @AppleSupport...waiting to hear back to provide details. Scary stuff! #apple #bugreport @foxnews
— MGT7 (@MGT7500) January 21, 2019
К сожалению, на сообщения Томпсон не обратил внимания практически никто, а в Apple попросту проигнорировали все ее попытки сообщить о баге. В поддержке женщине и вовсе предложили войти под аккаунтом разработчика и заполнить баг-репорт по всем правилам. Одним из немногих, кто заметил сообщения женщины, был ИТ-предприниматель Джон Мейер (John Meyer), который связался с Томпсонами, проверил баг в работе и позже опубликовал у себя в Twitter все отправленные ими сообщения и документы, подчеркивая, что Мишель и ее сын сделали все, что могли, и сделали это правильно.
Quick facts from my call with the 14 year old’s mom:
— John H. Meyer (@BEASTMODE) January 29, 2019
- Yes, a 14 year old discovered this bug. He did so "around" Saturday, 1/19
- Mother is a local lawyer in AZ and sent a formal notice to Apple on 1/25
- That formal notice the mom sent to Apple on 1/25 is attached pic.twitter.com/RMbXp3huab
Here is another example of the mother reaching out to Apple again over email on Jan 22, after being ignored repeatedly leading up to 1/22. pic.twitter.com/aN52VqWewv
— John H. Meyer (@BEASTMODE) January 29, 2019
В итоге Майер даже опубликовал PoC-видео, снятое Томпсонами и тоже направленное специалистам Apple, задолго до того, как информация о проблеме стала достоянием широкой общественности.
VIDEO: Here is a video, recorded & sent to Apple by a 14 yr old & his mom, on JAN 23rd, alerting them to the dangerous #FaceTime bug, that has threatened the privacy of millions. I've removed sensitive / private info on behalf of the mother (an attorney), whom I just spoke to. pic.twitter.com/YIBKXEP3mI
— John H. Meyer (@BEASTMODE) January 29, 2019
К сожалению, разработчики отреагировали на проблему лишь тогда, когда информация о баге распространилась по социальным сетям со скоростью лесного пожара (очень иронично, но это произошло в понедельник, 28 января, в международный день защиты персональных данных).
Конечно, стоит учитывать, что представители Apple получают множество сообщений о багах каждый день, в том числе «мусорных», неверных и заведомо фальшивых. Но теперь, когда СМИ стало известно об отчаянных, многодневных попытках Томсон связаться с Apple, многие специалисты сходятся во мнении, что ИТ-компаниям все же стоит быть внимательными не только к сообщениям экспертов, но также слушать и простых пользователей, а также предоставлять последним работающие и более очевидные каналы связи с разработчиками.