اپل بابت کشف آسیبپذیری خطرناک iOS پاداشی به کسپرسکی نداده است
کسپرسکی، شرکت مشهور امنیت سایبری روسی، در سال 2023 پس از کشف چهار آسیبپذیری روز صفر در iOS به سرتیتر خبرها رفت. کسپرسکی این آسیبپذیریها را شناسایی کرد و آنها را به اپل نیز گزارش داد. بااینحال، اکنون مشخص شده که کوپرتینوییها از پرداخت پاداش به این شرکت خودداری کردهاند.
«دیمیتری گالوف» (Dmitry Galov)، رئیس مرکز تحقیقات کسپرسکی، به شبکه خبری روسی RTVI گفته است: «ما آسیبپذیریهای روز صفر و بدون کلیک را یافتیم، تمام اطلاعات را به اپل منتقل کردیم و کار مفیدی انجام دادیم. اساساً ما یک آسیبپذیری را به آنها گزارش کردیم، که آنها بابتش باید پاداش شکار باگ بپردازند.»
طبق برنامه امنیتی اپل، پاداش کشف چنین آسیبپذیریهایی میتواند تا 1 میلیون دلار باشد. قابل توجه است که چنین اطلاعات مهمی درباره آسیبپذیریهای روز صفر iOS میتواند با قیمت حدود یک میلیون دلار در دارک وب به فروش برسد. به همین دلیل اعطای چنین باگ بانتیهایی مهم است.
دیمیتری گالوف حتی پیشنهاد داده است که کسپرسکی این پاداش را صرف امور خیریه خواهد کرد، اما اپل با استناد به سیاستهای داخلی بدون هیچ توضیحی پرداخت آن را رد کرده. گفتنی است که برای شرکتهای تحقیقاتی غیرمعمول نیست که هدایایی را از شرکتهای بزرگ به خیریه اهدا کنند. برخی آن را زمینهای برای گسترش تعهدات اخلاقی خود میدانند، که البته به مثبتکردن جلوه آنها در جامعه امنیتی نیز کمک میکند.
در سال 2023، کسپرسکی یک عملیات سایبری و جاسوسی مشکوک بسیار پیچیده را در دهها آیفون شناسایی و به صورت علنی آن را فاش کرد. این عملیات که تثلیث (Trigulation) نام داشت، یکی از پیچیدهترین حملات iOS بوده است.
هکرها در این عملیات میخواستند از چهار آسیبپذیری روز صفر استفاده کنند که به صورت زنجیرهای به یکدیگر متصل شده بودند. اگر این عملیات انجام میگرفت، هکرها میتوانستند با ایجاد یک بدافزار بدون کلیک گوشی کاربران زیادی را آلوده کنند. همچنین کاربران نمیفهمیدند که گوشی آنها آلوده شده و این بدافزار دادههای حساس ازجمله دادههای میکروفون، عکسها و موقعیت جغرافیایی را به سرورهای هکرها منتقل میکرد.
کسپرسکی نهتنها این عملیات را کشف کرد، بلکه با مهندسی معکوس توانست آسیبپذیری را شناسایی کند. این شرکت آسیبپذیری مذکور را به اپل اطلاع داد و دیری نگذشت که این شرکت پچهای امنیتی اضطراری را منتشر کرد.