Az Apple megtagadta, hogy fejpénzt fizessen a Kaspersky-nek, amiért felfedte a sebezhetőséget az „Operation Triangulation” programban | EatchbQ

Az Apple megtagadta, hogy fejpénzt fizessen a Kaspersky-nek, amiért felfedte a sebezhetőséget az „Operation Triangulation” programban

A Kaspersky, a neves orosz kiberbiztonsági cég tavaly ezúttal az újságok címoldalára került, miután felfedett egy támadási láncot, amely az iOS négy nulladik napi sebezhetőségét használta fel nulla kattintásos exploit létrehozására. A Kaspersky képes volt azonosítani és jelenteni az egyik sebezhetőséget az Apple-nek. Egy bizarr frissítésben azonban az Apple állítólag nem hajlandó kifizetni a biztonsági díjat a vállalat hozzájárulásáért.


A 9to5Mac Security Bite-t kizárólag az Ön rendelkezésére bocsátja Mosyle, az egyetlen Apple Unified Platform. Mindössze annyit teszünk, hogy az Apple-eszközöket munkakészen és üzletileg biztonságossá tesszük. Egyedülálló integrált adminisztrációs és biztonsági megközelítésünk ötvözi a fejlett Apple-specifikus biztonsági megoldásokat a teljesen automatizált keményítés és megfelelés érdekében, a következő generációs EDR-t, az AI-alapú Zero Trust-ot és az exkluzív Privilege Managementet a piacon elérhető legerősebb és legmodernebb Apple MDM-mel. Az eredmény egy teljesen automatizált Apple Unified Platform, amelyben jelenleg több mint 45 000 szervezet bízik meg, hogy több millió Apple-eszközt könnyedén és megfizethető módon üzembe helyezhessen. Kérje BŐVÍTETT MINTÁT ma, és megértse, miért a Mosyle minden, amire szüksége van az Apple-lel való együttműködéshez.


Gyakori, hogy az olyan nagy technológiai cégek, mint az Apple, biztonsági jutalomprogramokat használnak, hogy arra ösztönözzék a kutatókat és az etikus hackereket, hogy találják meg és jelentsék nekik a sebezhetőséget, ahelyett, hogy eladnák azokat rosszindulatú szereplőknek, gyakran nemzetállamoknak, akik kihasználhatják azokat.

“Nulladik napos, nulla kattintásos sebezhetőséget találtunk, minden információt továbbítottunk az Apple-nek, és hasznos munkát végeztünk” – mondta Dmitrij Galov, a Kaspersky Lab orosz kutatóközpontjának vezetője. Az RTVI orosz sajtó. “Lényegében egy sebezhetőséget jelentettünk nekik, amiért hibadíjat kell fizetniük.”

Galov még azt is javasolta, hogy a Kaspersky ajánlja fel a jutalmat jótékony célra, de az Apple elutasította ezt, a belső szabályzatokra hivatkozva magyarázat nélkül. Nem ritka, hogy a kutatócégek nagyvállalatok jutalmait jótékony célokra adományozzák. Vannak, akik etikai kötelezettségük kiterjesztésének tekintik, de tagadhatatlanul hozzájárul a biztonsági közösség pozitív hírnevéhez.

“Tekintettel arra, hogy mennyi információt adtunk át nekik, és milyen proaktívan tettük ezt, nem világos, miért hoztak ilyen döntést.”

2023-ban a Kaspersky nyilvánosan közzéteszik egy feltételezett rendkívül kifinomult kémkampány, amikor több tucat iPhone készülékről észlelt szabálytalanságokat a hálózatán. Az Operation Trigulation névre keresztelve ez lesz a valaha készült legkifinomultabb iOS-támadás.

A támadás négy nulladik napi sérülékenység sorozatát használta ki, amelyek egymáshoz láncolva nulla kattintásos exploitot hoztak létre. Lehetővé tette a támadók számára a jogosultságok emelését és távoli kód futtatását a feltört iPhone-okon. A felhasználók nem is gondolták volna, hogy eszközük megfertőződött, mivel a kártevő érzékeny adatokat, köztük mikrofonfelvételeket, fényképeket és földrajzi elhelyezkedést továbbít a támadó által irányított szerverekre.

A Kaspersky nemcsak felfedte a kampányt, hanem kutatólaboratóriuma visszafejtette a támadási lánc egyik sebezhetőségét, amelyet CVE-2023-38606. Azt találták, hogy az iOS operációs rendszer szívében lévő kernelt tetszőleges kód futtatására és a felhasználói jogosultságok növelésére használták. Az Apple-t értesítették, és nem sokkal később a cég kiadta a vészhelyzeti biztonsági javításokat, amelyek a Kaspersky csapatára hivatkoztak a hiba felfedezése mögött.

Az Apple szerint Security Bounty program, az ilyen sérülékenységek felfedezésének jutalma akár 1 millió dollár is lehet. Ennek a jutalomnak a fenntartása kritikus fontosságú, mivel a be nem jelentett iOS nulladik napok jóval északabbra, mint egymillió dollárért kelhetnek el a sötét web sarkaiban.

A valószínű ok

Míg a Kaspersky egy multinacionális vállalat, Oroszországban alapították és székhelye Oroszországban van, egy olyan országban, amelyet az Egyesült Államok szigorúan szankcionált az ukrajnai háború miatt. Ez nagymértékben korlátozhatja az amerikai és a régióbeli vállalatok közötti pénzügyi tranzakciókat.

Ráadásul az Apple Security Bounty’s szerint Felhasználási feltételek“Az Apple Security Bounty díjakat nem lehet kifizetni Önnek, ha olyan országokban tartózkodik, amelyek az Egyesült Államok embargója alatt állnak, vagy az Egyesült Államok Pénzügyminisztériumának speciálisan kijelölt állampolgárok listáján, az Egyesült Államok Kereskedelmi Minisztériumának megtagadott személyek vagy entitások listáján vagy a korlátozott felek bármely más listáján szerepel. .”

Szerintem itt meg van kötve az Apple keze, de szívesen hallanám a véleményeteket a kommentekben. Az egész helyzet sajnálatos. Szeretném látni ezt a jutalompénzt, ha a Kaspersky valóban fenntartaná ezt.

Kövesd Arint: Twitter/X, LinkedIn, cérna

Bővebben ebben a sorozatban

FTC: Jövedelemszerző automatikus kapcsolt linkeket használunk. Több.

Leave a Reply

Your email address will not be published. Required fields are marked *