Apple отказалась платить «Лаборатории Касперского» за найденные критические уязвимости

Apple отказала в выплате bug bounty «Лаборатории Касперского», сославшись на внутреннюю политику.

Об этом рассказал RTVI руководитель исследовательского центра «Лаборатории Касперского» Дмитрий Галов. Речь о целевой кибератаке на технику Apple её сотрудников, о которой специалисты «Касперского» сообщили в начале июня 2023 года.

Тогда «Лаборатория Касперского» заявила, что целью атаки стало незаметное внедрение шпионского модуля в iPhone. Целевая кибератака на менеджмент компании была осуществлена при помощи трояна Triangulation.

По словам Галова, они сделали полезное дело, так как обнаружили уязвимости zero-day (уязвимость нулевого дня) и zero-click (взлом без взаимодействия с пользователем), а после передали всю информацию в Apple:

По сути своей, мы зарепортили им уязвимость, за которую они должны заплатить bug bounty. Нам это вознаграждение не нужно, но есть практика такие выплаты от больших компаний передавать на благотворительность.

Галов подчеркнул, что Apple отказала «Лаборатории Касперского» в выплате, даже в пользу благотворительной организации. Отказ, по его словам, был без объяснения и со ссылкой на внутреннюю политику:

Учитывая, сколько информации мы им предоставили и насколько проактивно это сделали — непонятно, почему они приняли такое решение.

В отчёте о выявленных уязвимостях «Лаборатория Касперского» рассказывала, что атака проводилась при помощи невидимого iMessage-сообщения с вредоносным вложением, которое, используя ряд уязвимостей в iOS.

Эта атака исполнялась на устройстве и устанавливала шпионскую программу абсолютно скрытно от пользователя и без какого-либо его участия.

Напомним, в день выпуска отчёта «Лаборатории Касперского» ФСБ России совместно с ФСО сообщили о раскрытии разведывательной акции американских спецслужб, проведённой с использованием iPhone.

Заражению подверглись несколько тысяч iPhone. Помимо отечественных абонентов взлому были подвергнуты владельцы иностранных SIM-карт и абоненты, «использующие SIM-карты диппредставительств и посольств в РФ».

Среди абонентов диппредставительств и посольств были представители стран блока НАТО и постсоветского пространства, а также Израиль, САР и КНР. Apple ответила, что никогда не сотрудничала ни с одним правительством с целью установки бэкдора.