Apple anklaget av Kaspersky for å «jukse» med bonuser

Ifølge 9to5Mac skapte Kaspersky, et ledende russisk cybersikkerhetsfirma, oppstyr da de avslørte at Apple nektet å betale dusør for å ha oppdaget en alvorlig nulldagssårbarhet i iOS. Sårbarheten var en del av en sofistikert spionasjekampanje kalt «Operation Triangulation», som Kaspersky oppdaget i fjor.

Ifølge Kaspersky ga de proaktivt detaljert informasjon om sårbarheten til Apple og tilbød seg å donere dusøren til veldedighet, men Apple nektet uten å gi en spesifikk forklaring.

Denne nulldagssårbarheten er en del av en serie på fire sårbarheter som utnyttes i Triangulation-kampanjen, og som lar angripere kompromittere og ta full kontroll over berørte iPhone-enheter.

Kaspersky reverskonstruerte til og med en av sårbarhetene i angrepskjeden, med kodenavnet CVE-2023-38606. Sikkerhetseksperter oppdaget at iOS-kjernen ble brukt til å kjøre vilkårlig kode og øke brukerrettigheter. Kaspersky analyserte og rapporterte en av disse sårbarhetene, noe som hjalp Apple med å utstede en nødsikkerhetsoppdatering.

Under Apples bug bounty-program kan nulldagssårbarheter belønnes med opptil 1 million dollar. Det faktum at Kaspersky er basert i Russland, et land under amerikanske sanksjoner, kan imidlertid være grunnen til at Apple ikke kan betale belønningen.

Apples avgjørelse har skapt kontrovers i nettsikkerhetsmiljøet, og noen eksperter antyder at Apple burde ha tatt en mer fleksibel tilnærming, som å donere dusøren til en veldedig organisasjon på Kasperskys vegne, for å unngå å bryte sanksjoner.