К сожалению, сайт не работает без включенного JavaScript. Пожалуйста, включите JavaScript в настройках вашего браузера.

Apple отказалась выплатить «Лаборатории Касперского» $1 млн за найденную ошибку в ПО


«Лаборатория Касперского» пожаловалась на отказ Apple выплатить ей вознаграждение за выявление уязвимостей в iPhone. В российской компании отметили, что Apple не объяснила причину отказа и сослалась на внутреннюю политику. Согласно правилам программы bug bounty, за выявленные в ПО ошибки Apple могла выплатить «Лаборатории Касперского» до $1 млн. Исследователи безопасности не в первый раз жалуются на отсутствие выплат по этой программе со стороны Apple

«Лаборатория Касперского» пожаловалась на отказ Apple выплатить вознаграждение за обнаруженные в 2023 году уязвимости в ПО, которые позволяли злоумышленниками внедрить шпионский модуль на любой iPhone. Об этом руководитель российского исследовательского центра «Лаборатории Касперского» Дмитрий Галов рассказал RTVI. «Мы нашли zero-day, zero-click уязвимости, передали всю информацию Apple, сделали полезное дело. По сути своей, мы зарепортили им уязвимость, за которую они должны заплатить bug bounty (награду за обнаруженную уязвимость)», — сказал он. 

Согласно информации на сайте Apple Security Bounty, размер вознаграждения за обнаружение zero-click уязвимости составляет от $5000 до $1 млн. Отказ выплачивать деньги компания никак не объяснила и сослалась на внутреннюю политику, отметил Галов. «Учитывая, сколько информации мы им предоставили и насколько проактивно это сделали — непонятно, почему они приняли такое решение», — добавил он.

В начале лета 2023 года «Лаборатория Касперского» сообщила об обнаружении неизвестного ранее шпионского программного обеспечения, которое атаковало iOS-устройства сотрудников компании. Там отметили, что вирус распространялся через скрытые сообщения iMessage с вложением, содержащим zero-click-эксплойт: это означает, что вредоносная программа устанавливалась сама, без действий со стороны пользователя. Эксплойт использовал уязвимость, которая позволяла выполнить вредоносный код для повышения привилегий, и злоумышленники в результате получали полный контроль над зараженным устройством и доступ ко всем данным, пояснила «Лаборатория Касперского».

 

Целью злоумышленников был шпионаж, заявила компания. По ее данным, с помощью ПО хакеры получали информацию с устройства жертвы на удаленные серверы, их интересовали записи с микрофонов, фотографии из мессенджеров, геолокация и данные о других действиях владельца устройства. Сотрудники «Лаборатории Касперского» заметили вирус, когда анализировали сетевой трафик, полученный из своей корпоративной сети Wi-Fi. Компания уточнила, что атака, вероятно, была направлена не только на сотрудников «Лаборатории Касперского». 

1 июня 2023 года ФСБ заявила, что раскрыла разведывательную акцию спецслужб США, проведенную с использованием мобильных устройств Apple. По версии ФСБ, заражению подверглись несколько тысяч iPhone c сим-картами не только абонентов в России, но и зарегистрированными на российские диппредставительства в странах НАТО, бывших советских республиках, Израиле, Сирии и Китае.

 

Программа bug bounty по вознаграждениям за обнаружение ошибок, благодаря которой компании могут исправлять уязвимости и препятствовать перепродаже данных о них третьим лицам, действует в Apple с 2016 года. Изначально компания предлагала вознаграждение в размере до $200 000 хакерам, которые смогут предоставить ей данные об имеющихся в ПО уязвимостях. Согласно информации на сайте Apple Security Bounty, сейчас максимальная сумма вознаграждения составляет $1 млн. 

Жалоба «Лаборатории Касперского» на отсутствие выплат за обнаруженные уязвимости не единственная. В сентябре 2021 года The Washington Post писала, что многие из тех, кто знаком с программой, говорят, что Apple медленно исправляет обнаруженные ошибки и не всегда платит хакерам. По словам некоторых исследователей безопасности, которые говорили с WP на условиях анонимности, такой подход Apple отбил желание указывать на уязвимости в ПО компании и привел к тому, что некоторые начали продавать информацию об ошибках клиентам «серого рынка», в том числе правительственным учреждениям или компаниям, которые продают сложные хакерские услуги.

В то же время руководитель отдела разработки и архитектуры безопасности Apple Иван Крстич тогда отмечал, что «Apple продолжит предлагать высшие награды исследователям безопасности, работающим с нами бок о бок, чтобы защитить наших пользователей и их данные на более чем миллиарде устройств Apple по всему миру». По его словам, Apple потратила $3,7 млн в 2020 году на вознаграждения в рамках программы. Для сравнения WP привела данные Microsoft, которая в 2020-м направила на вознаграждения в рамках программы bug bounty $13,6 млн.

 

Мы в соцсетях:

Мобильное приложение Forbes Russia на Android

На сайте работает синтез речи

Рассылка:

Наименование издания: forbes.ru

Cетевое издание «forbes.ru» зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, регистрационный номер и дата принятия решения о регистрации: серия Эл № ФС77-82431 от 23 декабря 2021 г.

Адрес редакции, издателя: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Адрес редакции: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Главный редактор: Мазурин Николай Дмитриевич

Адрес электронной почты редакции: press-release@forbes.ru

Номер телефона редакции: +7 (495) 565-32-06

На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации)

Перепечатка материалов и использование их в любой форме, в том числе и в электронных СМИ, возможны только с письменного разрешения редакции. Товарный знак Forbes является исключительной собственностью Forbes Media Asia Pte. Limited. Все права защищены.
AO «АС Рус Медиа» · 2024
16+