Apple отказалась выплатить «Лаборатории Касперского» $1 млн за найденную ошибку в ПО
«Лаборатория Касперского» пожаловалась на отказ Apple выплатить ей вознаграждение за выявление уязвимостей в iPhone. В российской компании отметили, что Apple не объяснила причину отказа и сослалась на внутреннюю политику. Согласно правилам программы bug bounty, за выявленные в ПО ошибки Apple могла выплатить «Лаборатории Касперского» до $1 млн. Исследователи безопасности не в первый раз жалуются на отсутствие выплат по этой программе со стороны Apple
«Лаборатория Касперского» пожаловалась на отказ Apple выплатить вознаграждение за обнаруженные в 2023 году уязвимости в ПО, которые позволяли злоумышленниками внедрить шпионский модуль на любой iPhone. Об этом руководитель российского исследовательского центра «Лаборатории Касперского» Дмитрий Галов рассказал RTVI. «Мы нашли zero-day, zero-click уязвимости, передали всю информацию Apple, сделали полезное дело. По сути своей, мы зарепортили им уязвимость, за которую они должны заплатить bug bounty (награду за обнаруженную уязвимость)», — сказал он.
Согласно информации на сайте Apple Security Bounty, размер вознаграждения за обнаружение zero-click уязвимости составляет от $5000 до $1 млн. Отказ выплачивать деньги компания никак не объяснила и сослалась на внутреннюю политику, отметил Галов. «Учитывая, сколько информации мы им предоставили и насколько проактивно это сделали — непонятно, почему они приняли такое решение», — добавил он.
В начале лета 2023 года «Лаборатория Касперского» сообщила об обнаружении неизвестного ранее шпионского программного обеспечения, которое атаковало iOS-устройства сотрудников компании. Там отметили, что вирус распространялся через скрытые сообщения iMessage с вложением, содержащим zero-click-эксплойт: это означает, что вредоносная программа устанавливалась сама, без действий со стороны пользователя. Эксплойт использовал уязвимость, которая позволяла выполнить вредоносный код для повышения привилегий, и злоумышленники в результате получали полный контроль над зараженным устройством и доступ ко всем данным, пояснила «Лаборатория Касперского».
Целью злоумышленников был шпионаж, заявила компания. По ее данным, с помощью ПО хакеры получали информацию с устройства жертвы на удаленные серверы, их интересовали записи с микрофонов, фотографии из мессенджеров, геолокация и данные о других действиях владельца устройства. Сотрудники «Лаборатории Касперского» заметили вирус, когда анализировали сетевой трафик, полученный из своей корпоративной сети Wi-Fi. Компания уточнила, что атака, вероятно, была направлена не только на сотрудников «Лаборатории Касперского».
1 июня 2023 года ФСБ заявила, что раскрыла разведывательную акцию спецслужб США, проведенную с использованием мобильных устройств Apple. По версии ФСБ, заражению подверглись несколько тысяч iPhone c сим-картами не только абонентов в России, но и зарегистрированными на российские диппредставительства в странах НАТО, бывших советских республиках, Израиле, Сирии и Китае.
Программа bug bounty по вознаграждениям за обнаружение ошибок, благодаря которой компании могут исправлять уязвимости и препятствовать перепродаже данных о них третьим лицам, действует в Apple с 2016 года. Изначально компания предлагала вознаграждение в размере до $200 000 хакерам, которые смогут предоставить ей данные об имеющихся в ПО уязвимостях. Согласно информации на сайте Apple Security Bounty, сейчас максимальная сумма вознаграждения составляет $1 млн.
Жалоба «Лаборатории Касперского» на отсутствие выплат за обнаруженные уязвимости не единственная. В сентябре 2021 года The Washington Post писала, что многие из тех, кто знаком с программой, говорят, что Apple медленно исправляет обнаруженные ошибки и не всегда платит хакерам. По словам некоторых исследователей безопасности, которые говорили с WP на условиях анонимности, такой подход Apple отбил желание указывать на уязвимости в ПО компании и привел к тому, что некоторые начали продавать информацию об ошибках клиентам «серого рынка», в том числе правительственным учреждениям или компаниям, которые продают сложные хакерские услуги.
В то же время руководитель отдела разработки и архитектуры безопасности Apple Иван Крстич тогда отмечал, что «Apple продолжит предлагать высшие награды исследователям безопасности, работающим с нами бок о бок, чтобы защитить наших пользователей и их данные на более чем миллиарде устройств Apple по всему миру». По его словам, Apple потратила $3,7 млн в 2020 году на вознаграждения в рамках программы. Для сравнения WP привела данные Microsoft, которая в 2020-м направила на вознаграждения в рамках программы bug bounty $13,6 млн.