9to5Macによると、ロシアの大手サイバーセキュリティ企業カスペルスキーは、iOSの重大なゼロデイ脆弱性を発見したAppleがバグ報奨金の支払いを拒否したと発表し、大きな騒動を巻き起こした。この脆弱性は、カスペルスキーが昨年発見した「オペレーション・トライアンギュレーション」と呼ばれる高度なスパイ活動の一環であった。
カスペルスキーによれば、同社はAppleに対し脆弱性に関する詳細な情報を積極的に提供し、報奨金を慈善団体に寄付することを申し出たが、Appleは具体的な説明をせずに拒否したという。
カスペルスキー、報奨金支払いを拒否したとしてアップルを非難
このゼロデイ脆弱性は、Triangulation キャンペーンで悪用された 4 つの脆弱性のうちの 1 つであり、攻撃者が影響を受ける iPhone デバイスを侵害して完全に制御できるようになります。
カスペルスキーは、攻撃チェーンにおける脆弱性の一つ(コードネームCVE-2023-38606)をリバースエンジニアリングしました。セキュリティ専門家は、iOSカーネルが任意のコード実行とユーザー権限の昇格に利用されていることを発見しました。カスペルスキーはこれらの脆弱性の一つを分析・報告し、Appleによる緊急セキュリティパッチのリリースを支援しました。
Appleのバグ報奨金プログラムでは、ゼロデイ脆弱性の発見に対して最大100万ドルの報奨金が支払われる。しかし、カスペルスキーが米国の制裁対象国であるロシアに拠点を置いていることが、Appleが報奨金を支払えない理由かもしれない。
アップルの決定はサイバーセキュリティ界で論争を巻き起こしており、一部の専門家は、制裁違反を避けるためにアップルはカスペルスキーに代わって報奨金を慈善団体に寄付するなど、より柔軟なアプローチを取るべきだったと指摘している。
[広告2]
出典: https://thanhnien.vn/apple-bi-kaspersky-to-quyt-tien-thuong-185240610213514484.htm
コメント (0)