Apple wird von Kaspersky der „Betrugs“-Aktion bei Bonuszahlungen beschuldigt.

Laut 9to5Mac sorgte Kaspersky, ein führendes russisches Cybersicherheitsunternehmen, für Aufsehen, als es enthüllte, dass Apple eine Belohnung für die Entdeckung einer schwerwiegenden Zero-Day-Schwachstelle in iOS abgelehnt hatte. Die Schwachstelle war Teil einer ausgeklügelten Spionagekampagne namens „Operation Triangulation“, die Kaspersky im vergangenen Jahr aufdeckte.

Laut Kaspersky stellten sie Apple proaktiv detaillierte Informationen über die Sicherheitslücke zur Verfügung und boten an, die Belohnung an wohltätige Zwecke zu spenden, doch Apple lehnte ohne Angabe von Gründen ab.

Diese Zero-Day-Schwachstelle ist Teil einer Serie von vier Schwachstellen, die im Rahmen der Triangulation-Kampagne ausgenutzt wurden und es Angreifern ermöglichen, in betroffene iPhone-Geräte einzudringen und die vollständige Kontrolle darüber zu erlangen.

Kaspersky gelang es sogar, eine der Schwachstellen der Angriffskette, Codename CVE-2023-38606, per Reverse Engineering zu analysieren. Sicherheitsexperten entdeckten, dass der iOS-Kernel missbraucht wurde, um beliebigen Code auszuführen und Benutzerrechte zu erweitern. Kaspersky analysierte und meldete eine dieser Schwachstellen und unterstützte Apple so bei der Veröffentlichung eines dringenden Sicherheitspatches.

Im Rahmen von Apples Bug-Bounty-Programm können Zero-Day-Schwachstellen mit bis zu einer Million US-Dollar belohnt werden. Die Tatsache, dass Kaspersky seinen Sitz in Russland hat, einem Land, das US-Sanktionen unterliegt, könnte jedoch der Grund dafür sein, dass Apple die Prämie nicht auszahlen kann.

Die Entscheidung von Apple hat in der Cybersicherheitsgemeinschaft Kontroversen ausgelöst. Einige Experten schlugen vor, dass Apple einen flexibleren Ansatz hätte wählen sollen, beispielsweise die Belohnung im Namen von Kaspersky an eine Wohltätigkeitsorganisation zu spenden, um Sanktionsverstöße zu vermeiden.