Apple wird von Kaspersky des „Betrugs“ bei Prämien beschuldigt

Laut 9to5Mac sorgte Kaspersky, ein führendes russisches Cybersicherheitsunternehmen, für Aufsehen, als es bekannt gab, dass Apple sich weigerte, eine Bug-Bounce für die Entdeckung einer kritischen Zero-Day-Sicherheitslücke in iOS zu zahlen. Die Sicherheitslücke war Teil einer ausgeklügelten Spionagekampagne namens „Operation Triangulation“, die Kaspersky im vergangenen Jahr entdeckte.

Laut Kaspersky haben sie Apple proaktiv ausführliche Informationen über die Sicherheitslücke bereitgestellt und angeboten, die Prämie für wohltätige Zwecke zu spenden, was Apple jedoch ohne konkrete Begründung abgelehnt hat.

Diese Zero-Day-Sicherheitslücke ist Teil einer Reihe von vier Sicherheitslücken, die in der Triangulation-Kampagne ausgenutzt werden und es Angreifern ermöglichen, betroffene iPhone-Geräte zu kompromittieren und die vollständige Kontrolle darüber zu übernehmen.

Kaspersky konnte sogar eine der Schwachstellen in der Angriffskette mit dem Codenamen CVE-2023-38606 zurückentwickeln. Sicherheitsexperten entdeckten, dass der iOS-Kernel dazu missbraucht wurde, beliebigen Code auszuführen und Benutzerrechte zu erhöhen. Kaspersky analysierte und meldete eine dieser Schwachstellen und unterstützte Apple bei der Veröffentlichung eines Notfall-Sicherheitspatches.

Im Rahmen des Bug-Bounty-Programms von Apple können Zero-Day-Sicherheitslücken mit bis zu einer Million US-Dollar belohnt werden. Kasperskys Standort in Russland, einem Land, das unter US-Sanktionen steht, könnte jedoch der Grund dafür sein, dass Apple die Belohnung nicht zahlen kann.

Apples Entscheidung hat in der Cybersicherheits-Community Kontroversen ausgelöst. Einige Experten meinen, Apple hätte flexibler vorgehen sollen, etwa indem es die Prämie im Namen von Kaspersky an eine Wohltätigkeitsorganisation gespendet hätte, um Verstöße gegen die Sanktionen zu vermeiden.