A Kaspersky azzal vádolja az Apple-t, hogy „csalja” a bónuszokat

A 9to5Mac szerint a Kaspersky, egy vezető orosz kiberbiztonsági cég, nagy port kavart, amikor kiderült, hogy az Apple nem volt hajlandó jutalmat fizetni egy súlyos, nulladik napi sebezhetőség felfedezéséért az iOS-ben. A sebezhetőség egy kifinomult kémkedési kampány része volt, az úgynevezett „Háromszögelési hadművelet”, amelyet a Kaspersky tavaly fedezett fel.

A Kaspersky szerint proaktívan részletes információkat szolgáltattak az Apple-nek a sebezhetőségről, és felajánlották, hogy a befolyt összeget jótékonysági célra fordítják, de az Apple konkrét magyarázat nélkül elutasította a kérést.

Ez a nulladik napi sebezhetőség a Triangulation kampány során kihasznált négy sebezhetőségből álló sorozat része, lehetővé téve a támadók számára, hogy behatoljanak az érintett iPhone-eszközökbe és teljes mértékben átvegyék az irányítást felettük.

A Kaspersky még a támadási lánc egyik sebezhetőségét is visszafejtette, amelynek kódneve CVE-2023-38606. Biztonsági szakértők felfedezték, hogy az iOS kernelt tetszőleges kód végrehajtására és a felhasználói jogosultságok megemelésére használták. A Kaspersky elemezte és jelentette az egyik ilyen sebezhetőséget, segítve az Apple-t egy sürgősségi biztonsági javítás kiadásában.

Az Apple hibajavító programja keretében a nulladik napi sebezhetőségekért akár 1 millió dollárt is kaphatnak. Azonban az a tény, hogy a Kaspersky Oroszországban található, egy olyan országban, amelyre az Egyesült Államok szankciókat szab ki, lehet az oka annak, hogy az Apple nem tudja kifizetni a jutalmat.

Az Apple döntése vitát váltott ki a kiberbiztonsági közösségben, egyes szakértők szerint az Apple-nek rugalmasabb megközelítést kellett volna alkalmaznia, például a Kaspersky nevében egy jótékonysági szervezetnek kellett volna felajánlania a jutalmat, hogy elkerülje a szankciók megsértését.