През миналата година Kaspersky Lab откри сериозни уязвимости в iOS, които позволяват хакване на всеки iPhone и инсталиране на шпионски софтуер на него. Обикновено в такива случаи разработчикът на софтуера изплаща възнаграждение по т.нар. Bug Bounty програми – Apple също има такава програма за възнаграждения.

Apple обаче не пожела да плати наградата, която можеше да достигне 1 милион долара, на руските експерти по киберсигурност, които са открили уязвимостта и са съобщили за нея на Apple.

Според изявлението на Дмитрий Галов – ръководител на руския изследователски център на Kaspersky Lab, компанията му е открила няколко критични уязвимости от типа „нулев ден“ в iOS, които могат да бъдат използвани от разстояние без взаимодействие с потребителя, съобщава RTVI. За уязвимостите е било съобщено на Apple, но корпорацията е пренебрегнала собствената си Bug Bounty програма, наречена Security Bounty и е отказала да изплати обещаната награда в размер до 1 милион долара.

Според Галов, уязвимостите, открити от неговата компания са били активно използвани от нападателите като част от мащабна кампания за кибершпионаж, наречена операция „Триангулация“, за която и ние писахме в края на миналата година. Целта на тази операция е беше шпионаж, т.е. събиране на всякакви чувствителни данни от заразените iPhone-и, включително геолокация, файлове, снимки и видеоклипове от камерата, аудиозаписи от микрофона и много други. Жертвите на атаката са били собственици на iPhone по целия свят, включително служители на посолства и дипломатически мисии. Експлойтът се е стартирал чрез получаване на входящо съобщение, което означава, че потребителят дори не е трябвало да извършва никакви действия.

Според експертите на Kaspersky Lab зад тази мащабна кампания за кибершпионаж стоят или търговски организации, или разузнавателните служби на някоя държава. Все още не е възможно да се идентифицира конкретният клиент.

След като информацията за откритите уязвимости беше публикувана и потвърдена, Apple пусна актуализации за отстраняване на уязвимостите CVE-2023-32434 и CVE-2023-32435 в iOS и посочи служителите на Kaspersky, които са ги открили. Корпорацията обаче пренебрегна собствената си програма за възнаграждения за откриване на уязвимости и отказа да изплати на руските експерти по сигурността дължимите им парични суми. Отбелязва се също така, че шпионският софтуер е представлявал заплаха за всички iOS, издадени преди iOS 15.7.

От Kaspersky Lab заявиха, че не се нуждаят от парично възнаграждение от Apple, но има практика такива средства да се даряват за благотворителност. Apple обаче отказва да плати дори на благотворителни организации, като се позовава на някаква вътрешна политика без никакво обяснение.

В резултат на този инцидент ръководството на Kaspersky Lab реши напълно да се откаже да използва устройства на Apple и да прехвърли всички служители на компанията на смартфони и таблети с Android.

Според Дмитрий Галов, платформата Android предлага повече възможности за гарантиране на сигурността и контрол на работата на устройствата. Самата компания Apple все още не е коментирала ситуацията с отказа да изплати обещаната награда по обявената от нея програма Security Bounty.