Apple отказа да плати награда на Kaspersky за разкриване на уязвимост на „триангулация“.

Обичайно е големите технологични компании като Apple да използват програми за награди за сигурност, за да насърчат изследователите и етичните хакери да откриват и докладват уязвимости, вместо да ги продават на злонамерени участници, често национални държави, които могат да ги използват.

„Открихме уязвимости в сигурността на нулевия ден, прехвърлихме цялата информация на Apple и свършихме полезна работа“, каза Дмитрий Галов, ръководител на руския изследователски център в Kaspersky Lab. Руски новинарски канал RTVI. „По принцип им казахме, че има уязвимост и те трябва да платят премия за това.“

Галуф дори предложи Kaspersky да дари наградата за благотворителност, но Apple отказа, позовавайки се на вътрешна политика без обяснение. Не е необичайно изследователските фирми да даряват бонуси от големи компании за благотворителност. Някои виждат това като продължение на своето морално задължение, но несъмнено допринася за изграждането на положителна репутация в общността за сигурност.

„Като се има предвид количеството информация, която им предоставихме и колко проактивни бяхме в това, не е ясно защо биха взели такова решение.“

През 2023 г. Kaspersky Беше разкрито публично Шпионска кампания беше силно подозирана, когато откри аномалии от десетки iPhone в своята мрежа. Наречен Operation Trigulation, това ще се превърне в най-сложната iOS атака някога.

Атаката използва поредица от четири уязвимости от нулев ден, свързани заедно, за да създадат експлойт с нулево кликване. Той позволи на нападателите да повишат привилегиите и дистанционно да изпълняват код на компрометирани iPhone. Потребителите няма да имат представа, че устройствата им са заразени, тъй като зловредният софтуер ще предава чувствителни данни, включително записи от микрофон, снимки и геолокация, на сървъри, контролирани от нападателя.

Kaspersky не само разкри кампанията, но неговата изследователска лаборатория направи обратно инженерство на една от уязвимостите във веригата на атаката, която беше проследена като CVE-2023-38606. Те откриха, че ядрото в сърцето на iOS се използва за изпълнение на произволен код и повишаване на привилегиите на потребителите. Apple беше уведомена и не след дълго компанията пусна спешни пачове за сигурност, цитирайки екипа на Kaspersky, който стои зад откриването на пропуска.

Според Apple Бонус програма за сигурностНаградата за откриване на такива уязвимости може да достигне 1 милион долара. Важно е да поддържате тази награда, тъй като неотчетените нулеви дни за iOS могат да се продадат за над $1 милион в ъглите на тъмната мрежа.

Възможна причина за това

Въпреки че Kaspersky е мултинационална компания, тя е основана и със седалище в Русия, страна, на която Съединените щати наложиха тежки санкции заради войната в Украйна. Това може сериозно да ограничи финансовите транзакции между американски компании и тези в региона.

Освен това, според Apple Security Bounty правила и условия„Apple Security Bounty Awards може да не ви бъде изплатена, ако се намирате в някоя от страните, наложени от Съединените щати или в списъка на Министерството на финансите на САЩ със специално определени граждани, в списъка на отказаните лица или организации на Министерството на търговията на САЩ, или във всеки друг ограничени партийни списъци.

Мисля, че ръцете на Apple са вързани тук, но ще се радвам да чуя вашите мисли в коментарите. Цялата ситуация е жалка. Бих се радвал да видя тази финансова награда дарена, ако Kaspersky наистина подкрепи това.

Следвайте Арин: Twitter/X, LinkedIn, нишки

Още в тази поредица