PRKernel

Доставчик на новини в реално време в България, който информира своите читатели за последните български новини, събития, информация, пътувания, България.

Apple отказа да плати награда на Kaspersky за разкриване на уязвимост на „триангулация“.

Apple отказа да плати награда на Kaspersky за разкриване на уязвимост на „триангулация“.

Kaspersky, популярната руска компания за киберсигурност, нашумя по това време миналата година, след като разкри поредица от атаки, които използваха четири уязвимости на iOS, за да създадат експлойт с нулево кликване. Kaspersky успя да идентифицира една от уязвимостите и да я докладва на Apple. Въпреки това, в странна актуализация, се съобщава, че Apple отказва да плати ескроу бонус за приноса на компанията.


9to5Mac Security Bite ви се предлага изключително от Mosyle, единствената унифицирана платформа на Apple. Това, което правим, е да направим устройствата на Apple бизнес готови и сигурни за предприятията. Нашият уникален интегриран подход към управлението и сигурността съчетава най-новите решения за сигурност на Apple за напълно автоматизирано втвърдяване и съответствие, следващо поколение EDR, захранвано от AI Zero Trust и ексклузивно управление на привилегии с най-мощния и усъвършенстван Apple MDM на пазара. Резултатът е унифицирана, напълно автоматизирана платформа на Apple, на която сега се доверяват повече от 45 000 организации, за да направи милиони устройства на Apple работещи безпроблемно и достъпно. Поръчайте своя разширен опит Днес и разберете защо Mosyle е всичко, от което се нуждаете, за да работите с Apple.


Обичайно е големите технологични компании като Apple да използват програми за награди за сигурност, за да насърчат изследователите и етичните хакери да откриват и докладват уязвимости, вместо да ги продават на злонамерени участници, често национални държави, които могат да ги използват.

„Открихме уязвимости в сигурността на нулевия ден, прехвърлихме цялата информация на Apple и свършихме полезна работа“, каза Дмитрий Галов, ръководител на руския изследователски център в Kaspersky Lab. Руски новинарски канал RTVI. „По принцип им казахме, че има уязвимост и те трябва да платят премия за това.“

Галуф дори предложи Kaspersky да дари наградата за благотворителност, но Apple отказа, позовавайки се на вътрешна политика без обяснение. Не е необичайно изследователските фирми да даряват бонуси от големи компании за благотворителност. Някои виждат това като продължение на своето морално задължение, но несъмнено допринася за изграждането на положителна репутация в общността за сигурност.

„Като се има предвид количеството информация, която им предоставихме и колко проактивни бяхме в това, не е ясно защо биха взели такова решение.“

През 2023 г. Kaspersky Беше разкрито публично Шпионска кампания беше силно подозирана, когато откри аномалии от десетки iPhone в своята мрежа. Наречен Operation Trigulation, това ще се превърне в най-сложната iOS атака някога.

Атаката използва поредица от четири уязвимости от нулев ден, свързани заедно, за да създадат експлойт с нулево кликване. Той позволи на нападателите да повишат привилегиите и дистанционно да изпълняват код на компрометирани iPhone. Потребителите няма да имат представа, че устройствата им са заразени, тъй като зловредният софтуер ще предава чувствителни данни, включително записи от микрофон, снимки и геолокация, на сървъри, контролирани от нападателя.

Kaspersky не само разкри кампанията, но неговата изследователска лаборатория направи обратно инженерство на една от уязвимостите във веригата на атаката, която беше проследена като CVE-2023-38606. Те откриха, че ядрото в сърцето на iOS се използва за изпълнение на произволен код и повишаване на привилегиите на потребителите. Apple беше уведомена и не след дълго компанията пусна спешни пачове за сигурност, цитирайки екипа на Kaspersky, който стои зад откриването на пропуска.

Според Apple Бонус програма за сигурностНаградата за откриване на такива уязвимости може да достигне 1 милион долара. Важно е да поддържате тази награда, тъй като неотчетените нулеви дни за iOS могат да се продадат за над $1 милион в ъглите на тъмната мрежа.

Възможна причина за това

Въпреки че Kaspersky е мултинационална компания, тя е основана и със седалище в Русия, страна, на която Съединените щати наложиха тежки санкции заради войната в Украйна. Това може сериозно да ограничи финансовите транзакции между американски компании и тези в региона.

Освен това, според Apple Security Bounty правила и условия„Apple Security Bounty Awards може да не ви бъде изплатена, ако се намирате в някоя от страните, наложени от Съединените щати или в списъка на Министерството на финансите на САЩ със специално определени граждани, в списъка на отказаните лица или организации на Министерството на търговията на САЩ, или във всеки друг ограничени партийни списъци.

Мисля, че ръцете на Apple са вързани тук, но ще се радвам да чуя вашите мисли в коментарите. Цялата ситуация е жалка. Бих се радвал да видя тази финансова награда дарена, ако Kaspersky наистина подкрепи това.

Следвайте Арин: Twitter/X, LinkedIn, нишки

Още в тази поредица

FTC: Използваме автоматични партньорски връзки, за да печелим приходи. Повече ▼.