Apple acuzată de Kaspersky că „trișează” cu bonusurile

Conform 9to5Mac , Kaspersky, o firmă rusă de top în domeniul securității cibernetice, a provocat agitație când a dezvăluit că Apple a refuzat să plătească o recompensă pentru descoperirea unei vulnerabilități zero-day grave în iOS. Vulnerabilitatea a făcut parte dintr-o campanie sofisticată de spionaj numită „Operațiunea Triangulație”, descoperită de Kaspersky anul trecut.

Potrivit Kaspersky, aceștia au furnizat în mod proactiv informații detaliate despre vulnerabilitate către Apple și s-au oferit să doneze recompensa unei organizații caritabile, dar Apple a refuzat fără a oferi o explicație specifică.

Această vulnerabilitate zero-day face parte dintr-o serie de patru vulnerabilități exploatate în campania Triangulation, permițând atacatorilor să compromită și să preia controlul deplin asupra dispozitivelor iPhone afectate.

Kaspersky a realizat chiar și inginerie inversă a uneia dintre vulnerabilitățile din lanțul de atac, cu numele de cod CVE-2023-38606. Experții în securitate au descoperit că kernelul iOS era folosit pentru a executa cod arbitrar și a ridica privilegiile utilizatorilor. Kaspersky a analizat și a raportat una dintre aceste vulnerabilități, ajutând Apple să emită un patch de securitate de urgență.

În cadrul programului Apple de recompense pentru erori, vulnerabilitățile zero-day pot fi recompensate cu până la 1 milion de dolari. Cu toate acestea, faptul că Kaspersky are sediul în Rusia, o țară aflată sub sancțiuni americane, ar putea fi motivul pentru care Apple nu poate plăti recompensa.

Decizia Apple a stârnit controverse în comunitatea de securitate cibernetică, unii experți sugerând că Apple ar fi trebuit să adopte o abordare mai flexibilă, cum ar fi donarea recompensei către o organizație caritabilă în numele Kaspersky, pentru a evita încălcarea sancțiunilor.