Apple отказалась выплатить «Касперскому» $1 млн в награду по программе поиска уязвимостей

«Лаборатории Касперского» выявила серьезные уязвимости в iPhone, но ничего не получила от Apple по программе Apple Security Bounty. Вознаграждение могло составить до $1 млн.

В выплатах отказано

Apple отказалась выплатить «Лаборатории Касперского» вознаграждение за обнаруженные в 2023 г. уязвимости в iOS, которые позволяли злоумышленниками внедрить шпионский модуль на любой iPhone, как выяснили в RTVI.

Международный технологический гигант сам объявил программу вознаграждения «белых хакеров» за поиск уязвимостей bug bounty и опубликовал информацию о ней на своем сайте. Для публики программа была открыта в 2019 г., называлась Apple Security Bounty и обещала выплаты до $1 млн.

«Мы нашли zero-day, zero-click уязвимости, передали всю информацию Apple, сделали полезное дело, — сказал Дмитрий Галов, руководитель российского исследовательского центра «Лаборатории Касперского. — Учитывая, сколько информации мы им предоставили и насколько проактивно это сделали — непонятно, почему они приняли такое решение».

Скупость или экономность?

Apple отказала в выплате заслуженного «Лабораторией Касперского» вознаграждения даже в пользу благотворительной организации. Галов рассказал, что такая практика существует. Объяснять причины в компании не стали, просто сослались на внутренние правила.

«Белые хакеры» заметили, что Apple экономит на выплатах за найденные уязвимости

Можно было бы предположить, что дело в политике. Так международная платформа по поиску уязвимостей HackerOne не выплатила в 2022 г. белорусскому хакеру $25 тыс. так как он «находится в зоне санкций». 

Но Apple так делала и раньше. The Washington Post в сентябре 2021 г. писала, что Apple допускает путаницу с платежами, длительные задержки и не всегда выплачивает все, что полагается. Седрик Оуэнс (Cedric Owens), например, заявил, что обнаружил серьезную ошибку, которая позволяла хакерам устанавливать вредоносное программное обеспечение на компьютеры Mac в обход принятых мер безопасности. Apple заплатила $5 тыс. долларов, или 5% от суммы, которую, по мнению Оуэнса, он заслуживал. 

Николас Бруннер (Nicolas Brunner) получил от Apple благодарность вместо ожидаемых $50 тыс. за серьезную ошибку безопасности в системе отслеживания местоположения. Издание приводит и другие примеры.

«Лаборатории Касперского» тоже пострадала от уязвимостей Apple

Такая политика создает Apple плохую репутацию и гасит интерес к участию в bug bounty у исследователей. При этом нельзя сказать, что Apple в них не нуждается. В конце 2023 г. от хакерской атаки на смартфоны iPhone пострадали сотрудники «Лаборатории Касперского», которой теперь отказано в выплатах за найденные уязвимости. 

Злоумышленники тогда проэксплуатировали широко известную уязвимость «Операция триангуляция», которая присутствовала в iOS на протяжении как минимум четырех лет. Apple закрыла ее лишь летом 2023 г. с релизом сборки iOS 16.5.1. Брешь содержалась в недокументированной аппаратной функции iPhone, о которой мало кто знал за пределами Apple и поставщиков чипов для ее смартфонов, а также британской компании ARM – разработчика одноименной процессорной архитектуры. 

Устройства были заражены полнофункциональным шпионским ПО, которое, среди прочего, передавало записи с микрофона, фотографии, геолокацию и другие конфиденциальные данные на подконтрольные злоумышленникам серверы.