В выплатах отказано
Apple отказалась выплатить «Лаборатории Касперского» вознаграждение за обнаруженные в 2023 г. уязвимости в iOS, которые позволяли злоумышленниками внедрить шпионский модуль на любой iPhone, как выяснили в RTVI.
Международный технологический гигант сам объявил программу вознаграждения «белых хакеров» за поиск уязвимостей bug bounty и опубликовал информацию о ней на своем сайте. Для публики программа была открыта в 2019 г., называлась Apple Security Bounty и обещала выплаты до $1 млн.
«Мы нашли zero-day, zero-click уязвимости, передали всю информацию Apple, сделали полезное дело, — сказал Дмитрий Галов, руководитель российского исследовательского центра «Лаборатории Касперского. — Учитывая, сколько информации мы им предоставили и насколько проактивно это сделали — непонятно, почему они приняли такое решение».
Скупость или экономность?
Apple отказала в выплате заслуженного «Лабораторией Касперского» вознаграждения даже в пользу благотворительной организации. Галов рассказал, что такая практика существует. Объяснять причины в компании не стали, просто сослались на внутренние правила.
Можно было бы предположить, что дело в политике. Так международная платформа по поиску уязвимостей HackerOne не выплатила в 2022 г. белорусскому хакеру $25 тыс. так как он «находится в зоне санкций».
Но Apple так делала и раньше. The Washington Post в сентябре 2021 г. писала, что Apple допускает путаницу с платежами, длительные задержки и не всегда выплачивает все, что полагается. Седрик Оуэнс (Cedric Owens), например, заявил, что обнаружил серьезную ошибку, которая позволяла хакерам устанавливать вредоносное программное обеспечение на компьютеры Mac в обход принятых мер безопасности. Apple заплатила $5 тыс. долларов, или 5% от суммы, которую, по мнению Оуэнса, он заслуживал.
Николас Бруннер (Nicolas Brunner) получил от Apple благодарность вместо ожидаемых $50 тыс. за серьезную ошибку безопасности в системе отслеживания местоположения. Издание приводит и другие примеры.
«Лаборатории Касперского» тоже пострадала от уязвимостей Apple
Такая политика создает Apple плохую репутацию и гасит интерес к участию в bug bounty у исследователей. При этом нельзя сказать, что Apple в них не нуждается. В конце 2023 г. от хакерской атаки на смартфоны iPhone пострадали сотрудники «Лаборатории Касперского», которой теперь отказано в выплатах за найденные уязвимости.
Злоумышленники тогда проэксплуатировали широко известную уязвимость «Операция триангуляция», которая присутствовала в iOS на протяжении как минимум четырех лет. Apple закрыла ее лишь летом 2023 г. с релизом сборки iOS 16.5.1. Брешь содержалась в недокументированной аппаратной функции iPhone, о которой мало кто знал за пределами Apple и поставщиков чипов для ее смартфонов, а также британской компании ARM – разработчика одноименной процессорной архитектуры.
Устройства были заражены полнофункциональным шпионским ПО, которое, среди прочего, передавало записи с микрофона, фотографии, геолокацию и другие конфиденциальные данные на подконтрольные злоумышленникам серверы.
Поделиться