Американская корпорация Apple отказалась от перечисления «Лаборатории Касперского» денежного вознаграждения за выявленные в течение 2023 года уязвимости в операционной системе iOS, позволяющие киберпреступникам внедрять шпионское программное обеспечение в любой iPhone.
Максимальный размер вознаграждения за сведения такого характера в соответствии с программой Apple Security Bounty достигает уровня в 1 млн долларов, но американская компания не стала перечислять денежные средства как в адрес «Лаборатории Касперского», так и на благотворительные цели.
Глава российского исследовательского центра «Лаборатории Касперского» Дмитрий Галов во время общения с журналистами издания RTVI рассказал, что специалисты по информационной безопасности компании обнаружили критические уязвимости в операционной системе iOS и направили сразу же все данные о них в компанию Apple.
По словам эксперта, за подобную работу все крупные международные технологические корпорации всегда выплачивают денежное вознаграждение по собственным программам Bug Bounty, которые идут либо на счета организации, обнаружившей уязвимость, либо на благотворительные цели.
Дмитрий Галов подчеркнул, что за выявленные в iOS уязвимости в 2023 году компания Apple не стала перечислять денежные средства ни на счета «Лаборатории Касперского», ни на благотворительность, сославшись на некие пункты внутренней политики.
Эксперт отметил, что если принимать во внимание, сколько сведений об уязвимостях было передано в Apple и насколько проактивно это было сделано, не совсем понятно, почему именно такое решение было принято в американской корпорации.
Журналисты напоминают, что летом 2023 года ФСБ России сообщила о выявлении разведывательной акции американских спецслужб, проводимой с применением гаджетов американской корпорации Apple. В ведомстве тогда сообщили, что компрометации подверглись несколько тысяч гаджетов iPhone как в России, так и в других странах мира, в основном устройства сотрудников посольств и дипломатических представителей.
Тогда же «Лаборатория Касперского» представила большой отчет о выявлении хакерской атаки на операционнуюсистему iOS, основной целью которой было скрытное внедрение шпионского программного обеспечения в iPhone.
Хакеры, эксплуатируя обнаруженные «Лабораторией Касперского» уязвимости в системе, имели возможность заразить любой гаджет iPhone даже без какого-либо взаимодействия с пользователем. В рамках этой кибератаки на телефон пострадавших пользователей приходило сообщение iMessage со вредоносным вложением, содержащим эксплойт. И непосредственно из присланного сообщения, никак не взаимодействуя с пользователем, эксплойт запускал на устройстве выполнение вредоносного кода.
Эта киберпреступная кампания была названа «Операция Триангуляция» (Operation Triangulation). Аналитики «Лаборатории Касперского» рассказывали, что шпионский софт был выявлен на iPhone сотрудников российской компании, в том числе у топ-менеджеров.
Спустя несколько недель после публикации информации об этой хакерской атаке как в российских, так и в зарубежных СМИ, корпорация Apple официально признала наличие уязвимости и представила соответствующее исправление для устранения выявленных ошибок в операционной системе iOS. В американской компании тогда заявили, что обнаруженные уязвимости, имевшие идентификаторы CVE-2023-32434 и CVE-2023-32435, были актуальны для всех устройств, работающих на базе iOS версии 15.7 и ранее. Интересно, что в описании к выпущенным обновлениям были поимённо упомянуты четыре специалиста «Лаборатории Касперского», выявивших эти уязвимости.
В соответствии с многолетней программой Apple Security Bounty, если информация об уязвимости публикуется на официальном сайте американской корпорации, то денежное вознаграждение за выявленные ошибки составляет до 1 млн долларов.
Ещё по теме: