Apple отказа да плати на Kaspersky за откриването на сериозни уязвимости в iOS
През предходната година Kaspersky Lab откри съществени уязвимости в iOS, които разрешават хакване на всеки iPhone и инсталиране на шпионски програмен продукт на него. Обикновено в такива случаи разработчикът на софтуера изплаща заплащане по така наречен Bug Bounty стратегии – Apple също има такава стратегия за хонорари.
Apple обаче не пожела да заплати премията, която можеше да доближи 1 милион $, на съветските специалисти по киберсигурност, които са разкрили уязвимостта и са съобщили за нея на Apple.
Според изказването на Дмитрий Галов – началник на съветския проучвателен център на Kaspersky Lab, компанията му е разкрила няколко сериозни уязвимости от вида „ нулев ден “ в iOS, които могат да бъдат употребявани от разстояние без взаимоотношение с потребителя, оповестява RTVI. За уязвимостите е било обявено на Apple, само че корпорацията е пренебрегнала личната си Bug Bounty стратегия, наречена Security Bounty и е отказала да изплати обещаната премия в размер до 1 милион $.
Според Галов, уязвимостите, открити от неговата компания са били интензивно употребявани от нападателите като част от огромна акция за кибершпионаж, наречена интервенция „ Триангулация “, за която и ние писахме в края на предходната година. Целта на тази интервенция е беше шпионаж, т.е. събиране на всевъзможни чувствителни данни от инфектираните iPhone-и, в това число геолокация, файлове, фотоси и видеоклипове от камерата, аудиозаписи от микрофона и доста други. Жертвите на офанзивата са били притежатели на iPhone по целия свят, в това число чиновници на посолства и дипломатически задачи. Експлойтът се е стартирал посредством приемане на входящо известие, което значи, че потребителят даже не е трябвало да прави никакви дейности.
Според специалистите на Kaspersky Lab зад тази огромна акция за кибершпионаж стоят или търговски организации, или разследващите служби на някоя страна. Все още не е допустимо да се разпознава съответният клиент.
След като информацията за откритите уязвимости беше оповестена и доказана, Apple пусна актуализации за премахване на уязвимостите CVE-2023-32434 и CVE-2023-32435 в iOS и уточни чиновниците на Kaspersky, които са ги разкрили. Корпорацията обаче подцени личната си стратегия за хонорари за разкриване на уязвимости и отхвърли да изплати на съветските специалисти по сигурността дължимите им парични суми. Отбелязва се също по този начин, че шпионският програмен продукт е представлявал опасност за всички iOS, издадени преди iOS 15.7.
От Kaspersky Lab обявиха, че не се нуждаят от парично заплащане от Apple, само че има процедура такива средства да се подаряват за щедрост. Apple обаче отхвърля да заплати даже на благотворителни организации, като се базира на някаква вътрешна политика без никакво пояснение.
В резултат на този случай управлението на Kaspersky Lab реши изцяло да се откаже да употребява устройства на Apple и да трансферира всички чиновници на компанията на смарт телефони и таблети с Android.
Според Дмитрий Галов, платформата Android предлага повече благоприятни условия за гарантиране на сигурността и надзор на работата на устройствата. Самата компания Apple към момента не е коментирала обстановката с отхвърли да изплати обещаната премия по оповестената от нея стратегия Security Bounty.
