Η Kaspersky κατηγορεί την Apple για «απάτη» στα μπόνους

Σύμφωνα με το 9to5Mac , η Kaspersky, μια κορυφαία ρωσική εταιρεία κυβερνοασφάλειας, προκάλεσε αναταραχή όταν αποκάλυψε ότι η Apple αρνήθηκε να πληρώσει αμοιβή για την ανακάλυψη μιας σοβαρής ευπάθειας zero-day στο iOS. Η ευπάθεια ήταν μέρος μιας εξελιγμένης εκστρατείας κατασκοπείας που ονομάζεται «Επιχείρηση Τριγωνισμού», την οποία ανακάλυψε η Kaspersky πέρυσι.

Σύμφωνα με την Kaspersky, παρείχαν προληπτικά λεπτομερείς πληροφορίες σχετικά με την ευπάθεια στην Apple και προσφέρθηκαν να δωρίσουν το χρηματικό έπαθλο σε φιλανθρωπικούς σκοπούς, αλλά η Apple αρνήθηκε χωρίς να δώσει συγκεκριμένη εξήγηση.

Αυτή η ευπάθεια zero-day είναι μέρος μιας σειράς τεσσάρων ευπαθειών που αξιοποιήθηκαν στην καμπάνια Triangulation, επιτρέποντας στους εισβολείς να διεισδύσουν και να πάρουν τον πλήρη έλεγχο των συσκευών iPhone που έχουν επηρεαστεί.

Η Kaspersky μάλιστα ανέπτυξε αντίστροφα ένα από τα τρωτά σημεία στην αλυσίδα επίθεσης, με την κωδική ονομασία CVE-2023-38606. Οι ειδικοί ασφαλείας ανακάλυψαν ότι ο πυρήνας του iOS χρησιμοποιούνταν για την εκτέλεση αυθαίρετου κώδικα και την αύξηση των δικαιωμάτων των χρηστών. Η Kaspersky ανέλυσε και ανέφερε ένα από αυτά τα τρωτά σημεία, βοηθώντας την Apple να εκδώσει μια επείγουσα ενημέρωση ασφαλείας.

Σύμφωνα με το πρόγραμμα bug bounty της Apple, τα τρωτά σημεία zero-day μπορούν να ανταμειφθούν με έως και 1 εκατομμύριο δολάρια. Ωστόσο, το γεγονός ότι η Kaspersky εδρεύει στη Ρωσία, μια χώρα που υπόκειται σε κυρώσεις από τις ΗΠΑ, μπορεί να είναι ο λόγος για τον οποίο η Apple δεν μπορεί να πληρώσει την αμοιβή.

Η απόφαση της Apple έχει προκαλέσει διαμάχη στην κοινότητα της κυβερνοασφάλειας, με ορισμένους ειδικούς να υποστηρίζουν ότι η Apple θα έπρεπε να είχε υιοθετήσει μια πιο ευέλικτη προσέγγιση, όπως η δωρεά του χρηματικού ποσού σε φιλανθρωπικό ίδρυμα για λογαριασμό της Kaspersky, για να αποφευχθεί η παραβίαση των κυρώσεων.