Apple отказалась выплачивать «Лаборатории Касперского» награду за обнаружение критической уязвимости в iOS

Apple отказалась выплачивать «Лаборатории Касперского» bug-bounty за обнаружение критической уязвимости в iOS — пишет RTVI.

Apple Security Bounty — официальная программа компании, которая позволяет «белым хакерам» и специалистам по кибербезопасности получать выплаты за обнаруженные ошибки и уязвимости в системах iOS и других ОС от Apple. Размер выплаты зависит от того, насколько критической оказалась обнаруженная «дыра». 

Так, за способ взломать устройство при физическом доступе платят от 5 до 100 тысяч долларов (больше всего денег платят за «широкий доступ к конфиденциальным данным с полным обходом экрана блокировки»). Больше всего денег, целый миллион долларов, обещают за возможность удалённо взломать устройство и запустить на нём код без участия пользователя (Zero-click kernel code execution).

В прошлом году в «Лаборатории Касперского» заявили, что обнаружили уязвимость Operation Triangulation в iOS, которая позволяла удалённо захватывать iPhone. Хакеру было достаточно отправить сообщение в iMessage, которое запускало несколько исполняемых файлов, а потом удалось удалялось. Судя по всему, в поиске уязвимости участвовала ФСБ, которая  обвинила Apple в намеренной попытке оставить «бэкдор» для доступа американских спецслужб. С помощью обнаруженного способа обхода систем безопасности можно было получать данные с камеры и микрофона, пересылать любые файлы с телефона и получить любые данные, которые на нём находятся, а также и загрузить на айфон какие-либо файлы, например, незаконные.

«Лаборатория Касперского» сообщила о найденной уязвимости в Apple и запросила соответствующее вознаграждение. Разработчик говорит, что хотел потратить средства на благотворительные цели. Apple получила от «Лаборатории» подробную информацию об уязвимости, выпустила «патч», который закрыл соответствующий обходной путь, но деньги выплачивать не стала. 

«Мы нашли zero-day, zero-click уязвимости, передали всю информацию Apple, сделали полезное дело. По сути своей, мы зарепортили им уязвимость, за которую они должны заплатить bug bounty (награду за обнаруженную уязвимость — RTVI). Нам это вознаграждение не нужно, но есть практика такие выплаты от больших компаний передавать на благотворительность. Apple отказала нам в выплате, даже в пользу благотворительной организации, сославшись на внутреннюю политику, без объяснения. Учитывая, сколько информации мы им предоставили и насколько проактивно это сделали — непонятно, почему они приняли такое решение», — пожаловался руководитель исследовательского центра «Лаборатории Касперского» Дмитрий Галов.

В политике Apple Security Bounty указано, что компания может не выплачивать деньги за нахождение уязвимости, если сочтёт необходимым. Там также указано, что средства не могут получить страны, компании и лица, находящиеся под эмбарго США, а также в санкционных списках Минфина или Минторговли. В апреле CNN писала, что Kasperky могут внести в списки, однако такого решения пока принято не было.

Предполагается, что Operation Triangulation или похожей уязвимостью пользуются израильские хакеры NSO Group и их Pegasus, которую продают государствам. Недавно на взлом этой программой пожаловались сотрудники русскоязычных СМИ, проживающие в Прибалтике. Всего Apple предупредила жителей 92 стран об угрозе взлома их iPhone шпионскими программами.