Kaspersky, renomowana rosyjska firma zajmująca się cyberbezpieczeństwem, w zeszłym roku trafiła na pierwsze strony gazet o tej porze po odkryciu łańcucha ataków wykorzystujących cztery luki dnia zerowego w systemie iOS w celu stworzenia exploita wymagającego zerowego kliknięcia. Kaspersky był w stanie zidentyfikować i zgłosić jedną z luk firmie Apple. Jednak w dziwacznej aktualizacji Apple podobno odmawia zapłaty nagrody za wkład firmy.
9to5Mac Security Bite jest dostarczany wyłącznie przez Mosyle, jedyna zunifikowana platforma Apple. Wszystko, co robimy, to sprawianie, iż urządzenia Apple są gotowe do pracy i bezpieczne dla przedsiębiorstw. Nasze unikalne zintegrowane podejście do zarządzania i bezpieczeństwa łączy najnowocześniejsze rozwiązania bezpieczeństwa specyficzne dla Apple, zapewniające w pełni zautomatyzowane wzmacnianie i zgodność, EDR nowej generacji, Zero Trust oparte na sztucznej inteligencji i ekskluzywne zarządzanie uprawnieniami z najpotężniejszym i najnowocześniejszym rozwiązaniem Apple MDM w sklepie. Rezultatem jest całkowicie zautomatyzowana ujednolicona platforma Apple, której w tej chwili zaufało ponad 45 000 organizacji, dzięki której miliony urządzeń Apple są gotowe do pracy bez wysiłku i po przystępnej cenie. Poproś o ROZSZERZONY okres próbny już dziś i zrozum, dlaczego Mosyle to wszystko, czego potrzebujesz do pracy z Apple.
Duże firmy technologiczne, takie jak Apple, często korzystają z programów nagród za bezpieczeństwo, aby zachęcić badaczy i etycznych hakerów do znajdowania i zgłaszania im luk w zabezpieczeniach, zamiast sprzedawać je złośliwym podmiotom, często państwom narodowym, które mogłyby je wykorzystać.
„Znaleźliśmy luki typu zero-day, wymagające kliknięcia, przesłaliśmy wszystkie informacje do Apple i wykonaliśmy pożyteczną robotę” – powiedział Dmitrij Gałow, szef rosyjskiego centrum badawczego w Kaspersky Lab Rosyjski serwis informacyjny RTVI. „Zasadniczo zgłosiliśmy im lukę w zabezpieczeniach, za którą muszą zapłacić nagrodę za błąd”.
Galov zaproponował nawet, aby Kaspersky przekazał nagrodę na cele charytatywne, ale Apple odrzucił tę propozycję, powołując się bez wyjaśnienia na wewnętrzne zasady. Nierzadko zdarza się, iż firmy badawcze przekazują nagrody od dużych firm na cele charytatywne. Niektórzy postrzegają to jako przedłużenie swoich obowiązków etycznych, jednak niezaprzeczalnie przyczynia się to do budowania pozytywnej reputacji w społeczności bezpieczeństwa.
„Biorąc pod uwagę, ile informacji im przekazaliśmy i jak aktywnie to zrobiliśmy, nie jest jasne, dlaczego podjęli taką decyzję”.
W 2023 r. Kaspersky publicznie ujawnione podejrzewaną wysoce wyrafinowaną kampanię szpiegowską, w ramach której wykrył anomalie w dziesiątkach iPhone’ów w swojej sieci. Zostało zdubbingowane Operacja Trigulacjaktóry stał się najbardziej wyrafinowanym atakiem na iOS, jaki kiedykolwiek skonstruowano.
W ataku wykorzystano serię czterech luk typu zero-day połączonych ze sobą w celu stworzenia exploita wymagającego zerowego kliknięcia. Umożliwiło atakującym podniesienie uprawnień i zdalne wykonanie kodu na zainfekowanych iPhone’ach. Użytkownicy nie mieliby pojęcia, iż ich urządzenie zostało zainfekowane, ponieważ złośliwe oprogramowanie przesyłałoby wrażliwe dane, w tym nagrania z mikrofonu, zdjęcia i geolokalizację, na serwery kontrolowane przez osobę atakującą.
Firma Kaspersky nie tylko odkryła kampanię, ale jej laboratorium badawcze dokonało inżynierii wstecznej jednej z jej luk w łańcuchu ataków, śledzonej jako CVE-2023-38606. Odkryli, iż jądro stanowiące serce systemu operacyjnego iOS było wykorzystywane do wykonywania dowolnego kodu i podnoszenia uprawnień użytkownika. Powiadomiono firmę Apple i niedługo firma wypuściła awaryjne poprawki bezpieczeństwa, odwołując się do zespołu Kaspersky odpowiedzialnego za odkrycie luki.
Według Apple’a Program nagród za bezpieczeństwonagroda za odkrycie takich luk może wynieść choćby 1 milion dolarów. Utrzymanie tej nagrody jest niezwykle istotne, ponieważ niezgłoszone dni zerowe iOS mogą być sprzedawane za znacznie powyżej miliona dolarów w zakątkach ciemnej sieci.
Prawdopodobny powód
Chociaż Kaspersky jest firmą międzynarodową, została założona i ma siedzibę w Rosji – kraju, który Stany Zjednoczone nałożyły surowe sankcje w związku z wojną na Ukrainie. Może to poważnie ograniczyć transakcje finansowe pomiędzy firmami amerykańskimi a firmami z regionu.
Dodatkowo w ramach nagrody Apple Security Bounty Regulamin„Nagrody Apple Security Bounty nie mogą zostać wypłacone użytkownikowi, jeżeli znajduje się on w jakimkolwiek kraju objętym amerykańskim embargiem lub znajduje się na liście specjalnie wyznaczonych obywateli Departamentu Skarbu USA, liście osób lub podmiotów objętych zakazami Departamentu Handlu Stanów Zjednoczonych lub na jakiejkolwiek innej liście stron objętych ograniczeniami .”
Uważam, iż Apple ma tu związane ręce, ale chciałbym poznać Wasze zdanie w komentarzach. Cała sytuacja jest niefortunna. Chciałbym, aby ta nagroda pieniężna została przekazana, gdyby Kaspersky rzeczywiście zamierzał ją podtrzymać.
Więcej w tej serii
FTC: Korzystamy z automatycznych linków partnerskich generujących dochód. Więcej.
