Apple odbio da isplati ruskoj kompaniji Kaspersky nagradu od milion dolara za ranjivosti u softveru iPhonea

Vesti, 06.06.2024, 12:00 PM

Apple je odbio da isplati nagradu za greške u softveru iPhonea istraživačima ruske kompanije za sajber bezbednost Kaspersky koji su otkrili četiri ranjivosti nultog dana u Appleovom softveru koje su korišćene za špijuniranje zaposlenih u kompaniji Kaspersky, ali i za špijuniranje ruskih diplomata.

Ove ranjivosti nultog dana omogućile su napadačima da, bez klikova i bilo kakve interakcije korisnika, instaliraju špijunski softver na nekoliko hiljada iPhone uređaja u Rusiji, ali i izvan nje. Žrtve bi samo primile iMessage sa prilogom i to je bilo dovoljno da se pokrene malver.

Portparol Kaspersky Laba rekao je da istraživački tim kompanije smatra da njihov rad ispunjava uslove za Appleove nagrade. Međutim, kada su pitali za to, Appleov tim za bezbednost ih je odbio pozivajući se na politiku kompanije.

Apple nije komentarisao ove navode.

Nagrade za greške su uobičajen način za kompanije da podstaknu istraživače da im otkriju ranjivosti u njihovom softveru umesto da ih prodaju onima koji bi ih mogli zloupotrebiti.

Kaspersky je prošle godine javno obelodanio veoma sofisticiranu špijunsku kampanju, koja je opisana kao „izuzetno složen, profesionalni, ciljani sajber napad” koji je uticao na „nekoliko desetina iPhonea zaposlenih u kompaniji, i to rukovodilaca srednjeg i najvišeg ranga.

Operacija Triangulacija, kako je špijunska kampanja nazvana, bila je „definitivno najsofisticiraniji lanac napada koji smo ikada videli“, rekli su istraživači kompanije Kaspersky.

Zbog sofisticiranosti i načina na koje su ranjivosti iskorišćavane, ograničenog ciljanja žrtava, i činjenice da su napadači tražili obaveštajne a ne finansijske podatke, sumnjalo se da je kampanju sponzorisala neka država.

„Ovo definitivno nije bio finansijski motivisan sajber napad - napadači ne troše toliko resusrsa da bi ukrali, na primer, bankovne podatke korisnika“, rekli su istraživači Kasperskog.

Istog dana kada je Kaspersky otkrio detalje o ovoj kampanji, ruska Federalna služba bezbednosti (FSB) optužila je Sjedinjene Države i Apple da su sarađivali kako bi omogućili SAD da špijunira ruske diplomate.
FSB je javno izneo nekoliko detalja u vezi sa napadima čiji su ciljevi bili diplomate, a ruska agencija za kompjutersku bezbednost je potvrdila da su indikatori kompromitovanja obe kampanje bili isti.

Ključni detalj koji ukazuje na to da je reč o istoj kampanji bila je ranjivost praćena kao CVE-2023-38606. Prema kompaniji Kaspersky, ovo je uticalo na posebno neobičnu hardversku funkciju koju zapravo nije koristio nijedan iOS firmware. Istraživači su rekli da je možda bila namenjena za otklanjanje grešaka ili testiranje ili je greškom uključena u operativni sistem iPhonea.

„Ne znamo kako su napadači naučili da koriste ovu nepoznatu hardversku funkciju ili šta je bila njena prvobitna svrha. Ne znamo ni da li ju je razvio Apple ili je komponenta treće strane“, naveo je Kaspersky.

U to vreme portparol Applea je osporio optužbe da je kompanija u dosluhu sa državom omogućila špijuniranje kupaca.

„Nikada nismo radili ni sa jednom vladom da ubacimo backdoor u bilo koji Apple proizvod i nikada nećemo“, rekao je tada Apple

Tvrdnja da je Apple odbio da isplati nagradu za greške kompaniji Kaspersky dolazi u trenutku intenziviranja neprijateljstva između Sjedinjenih Država i Rusije zbog rata u Ukrajini. U izjavi koju je dao u martu, Apple je rekao: „Duboko smo zabrinuti zbog ruske invazije na Ukrajinu i stojimo uz sve ljude koji pate zbog nasilja.“

Apple je kao američka kompanija objavila da je zbog tog rata obustavila prodaju svojih proizvoda u Rusiji i uklonila aplikacije medijskih organizacija koje kontroliše država iz svog App Storea, kao i da je ograničila pristup uslugama kao što su Apple Pay za postojeće kupce.

Iako Kaspersky nije izričito sankcionisan u Sjedinjenim Državama zbog sukoba u Ukrajini, američka vlada je ranije zabranila upotrebu proizvoda ruske kompanije u vladi iz bezbednosnih razloga zbog nivoa kontrole koju antivirusni softver zahteva na računaru s obzirom da je proizvođač softvera kompanija sa sedištem u Rusiji.

Rukovodilac istraživanja u kompaniji Kaspersky Dmitrij Galov rekao je da je praksa da velike kompanije za sajber bezbednost, poput kompanije Kaspersky, nagrade poput ove doniraju u dobrotvorne svrhe, a u ovom slučaju reč je o nagradi od milion dolara.

On je dodao da iako je Kaspersky bio uveren da je napadača sponzorisala država, on i njegov istraživački tim nisu imali tehničke podatke potrebne da identifikuju koja država stoji iza napada.

Foto: Andy Wang | Unsplash