Kaspersky oskarża Apple o „oszukiwanie” przy premiach

Według serwisu 9to5Mac , Kaspersky, wiodąca rosyjska firma zajmująca się cyberbezpieczeństwem, wywołała poruszenie, ujawniając, że Apple odmówiło zapłacenia nagrody za odkrycie poważnej luki typu zero-day w systemie iOS. Luka była częścią wyrafinowanej kampanii szpiegowskiej o nazwie „Operacja Triangulacja”, którą Kaspersky odkrył w zeszłym roku.

Według Kaspersky'ego firma z własnej inicjatywy dostarczyła firmie Apple szczegółowe informacje o luce w zabezpieczeniach i zaoferowała przekazanie nagrody na cele charytatywne, ale Apple odmówiło, nie podając konkretnych wyjaśnień.

Ta luka typu zero-day jest częścią serii czterech luk wykorzystywanych w kampanii Triangulation, umożliwiających atakującym wniknięcie w urządzenia iPhone i przejęcie nad nimi pełnej kontroli.

Firma Kaspersky dokonała nawet inżynierii wstecznej jednej z luk w łańcuchu ataku, o nazwie kodowej CVE-2023-38606. Eksperci ds. bezpieczeństwa odkryli, że jądro systemu iOS było wykorzystywane do wykonywania dowolnego kodu i podnoszenia uprawnień użytkownika. Firma Kaspersky przeanalizowała i zgłosiła jedną z tych luk, pomagając Apple w wydaniu awaryjnej poprawki bezpieczeństwa.

W ramach programu nagród za błędy Apple, za wykrycie luk typu zero-day można otrzymać nagrodę w wysokości do 1 miliona dolarów. Jednak fakt, że firma Kaspersky ma siedzibę w Rosji, kraju objętym sankcjami USA, może być powodem, dla którego Apple nie może wypłacić nagrody.

Decyzja Apple wywołała kontrowersje w społeczności zajmującej się cyberbezpieczeństwem. Niektórzy eksperci sugerują, że Apple powinno było podjąć bardziej elastyczne podejście, na przykład przekazać nagrodę na cele charytatywne w imieniu Kaspersky, aby uniknąć naruszenia sankcji.