A Apple se recusou a pagar até US$ 1 milhão à Kaspersky Lab por descobrir vulnerabilidades no iOS

«Em 2023, a Kaspersky Lab encontrou vulnerabilidades no iOS que tornavam possível hackear qualquer iPhone e instalar spyware nele. Normalmente, nesses casos, o desenvolvedor do software paga uma recompensa, um Bug Bounty, e a Apple possui esse programa de recompensas. No entanto, a Apple não quis pagar uma recompensa, que poderia chegar a US$ 1 milhão, aos especialistas russos em segurança cibernética que descobriram a vulnerabilidade e a reportaram à Apple.

Fonte da imagem: Copiloto

Como relata a RTVI, de acordo com a declaração do chefe do centro de pesquisa russo da Kaspersky Lab, Dmitry Galov, sua empresa descobriu várias vulnerabilidades críticas de dia zero no iOS que poderiam ser exploradas remotamente sem interação do usuário. Informações sobre as vulnerabilidades foram transmitidas à Apple, mas a corporação ignorou seu próprio programa Security Bounty para detecção de bugs e se recusou a pagar a recompensa prometida de até US$ 1 milhão.

De acordo com Galov, as vulnerabilidades descobertas por sua empresa foram ativamente utilizadas pelos invasores como parte de uma campanha de espionagem cibernética em grande escala chamada Operação Triangulação. O objetivo desta operação era a espionagem, ou seja, a coleta de quaisquer dados confidenciais dos iPhones infectados, incluindo geolocalização, arquivos, fotos e vídeos da câmera, gravações de áudio do microfone e muito mais. Proprietários de iPhone em diversos países do mundo, incluindo funcionários de embaixadas e missões diplomáticas, foram vítimas do ataque. A exploração foi lançada por meio de mensagens recebidas, o que significa que o usuário nem precisou realizar nenhuma ação.

De acordo com os especialistas da Kaspersky Lab, ou estruturas comerciais ou serviços de inteligência de algum estado estão por trás desta campanha de espionagem cibernética em grande escala. Ainda não é possível identificar um cliente específico.

Depois que as informações sobre as vulnerabilidades descobertas foram publicadas e confirmadas, a Apple lançou atualizações para corrigir essas vulnerabilidades, CVE-2023-32434 e CVE-2023-32435, no iOS e nomeou os funcionários da Kaspersky que as descobriram. No entanto, a corporação ignorou o seu próprio programa de recompensas pela descoberta de vulnerabilidades e recusou-se a pagar o dinheiro devido aos especialistas em segurança russos. Observa-se também que o spyware representava uma ameaça para todos os iOS lançados antes do iOS 15.7.

A Kaspersky Lab afirmou que não precisa de compensação monetária da Apple, mas existe a prática de doar esses fundos para fins de caridade. No entanto, a Apple recusou-se a pagar até mesmo instituições de caridade, citando políticas internas sem qualquer explicação.

Como resultado deste incidente, a administração da Kaspersky Lab decidiu parar completamente de usar dispositivos Apple e transferir todos os funcionários da empresa para smartphones e tablets com sistema operacional Android. Segundo Dmitry Galov, a plataforma Android tem mais oportunidades para garantir segurança e controle sobre o funcionamento dos dispositivos.

A própria Apple ainda não comentou a situação com a recusa em pagar a recompensa prometida no programa Security Bounty que anunciaram.