Kaspersky obvinil Apple z „podvádění“ s bonusy

Podle serveru 9to5Mac způsobila společnost Kaspersky, přední ruská firma zabývající se kybernetickou bezpečností, rozruch, když odhalila, že Apple odmítl zaplatit odměnu za objevení závažné zranitelnosti typu zero-day v systému iOS. Zranitelnost byla součástí sofistikované špionážní kampaně s názvem „Operace Triangulace“, kterou Kaspersky odhalil loni.

Podle Kasperskyho proaktivně poskytli společnosti Apple podrobné informace o zranitelnosti a nabídli darování odměny na charitu, ale Apple to bez konkrétního vysvětlení odmítl.

Tato zranitelnost typu zero-day je součástí série čtyř zranitelností zneužitých v kampani Triangulation, které útočníkům umožňují kompromitovat a převzít plnou kontrolu nad postiženými zařízeními iPhone.

Společnost Kaspersky dokonce provedl zpětné inženýrství jedné ze zranitelností v útoku s kódovým označením CVE-2023-38606. Bezpečnostní experti zjistili, že jádro iOS bylo používáno ke spouštění libovolného kódu a zvyšování uživatelských oprávnění. Společnost Kaspersky analyzovala a nahlásila jednu z těchto zranitelností, což pomohlo společnosti Apple vydat nouzovou bezpečnostní záplatu.

V rámci programu odměn za zranitelnosti typu „bug bounty“ společnosti Apple lze za zranitelnosti typu „zero-day“ získat odměnu až do výše 1 milionu dolarů. Skutečnost, že společnost Kaspersky sídlí v Rusku, zemi pod americkými sankcemi, však může být důvodem, proč Apple nemůže odměnu vyplatit.

Rozhodnutí společnosti Apple vyvolalo v komunitě kybernetické bezpečnosti kontroverzi. Někteří odborníci naznačují, že Apple měl zaujmout flexibilnější přístup, například darovat odměnu charitě jménem Kasperskyho, aby se vyhnul porušení sankcí.