
Kaspersky acusa a Apple de no pagar por el descubrimiento de vulnerabilidades – MacMagazine
Según información de la agencia mundial del idioma ruso. RTVIEl Manzana Se negaría a pagar una recompensa a la empresa de seguridad. Kaspersky por una vulnerabilidad Día cero en iOS arreglado el año pasado.
El caso fue informado por el director del centro de investigación ruso de Kaspersky, Dmitry Galov, quien afirmó que Apple se negó incluso a donar el dinero de la recompensa (que podría alcanzar el millón de dólares) a organizaciones benéficas, citando la política interna para justificar la (in)acción, sin proporcionando más explicaciones.
Encontramos vulnerabilidades Día cero Es clic cero, le pasamos toda la información a Apple, hicimos algo útil. De hecho, les informamos de una vulnerabilidad por la que tienen que pagar una recompensa por errores.
La vulnerabilidad en cuestión se informó a raíz de una denuncia del Servicio Federal de Seguridad (Federal’naya Sluzhba Bezopasnosti Rossiyskoy Federatsiio FSB) ruso, que se estaba llevando a cabo una acción de inteligencia por parte de empresas estadounidenses utilizando dispositivos móviles de Apple, que habrían infectado miles de iPhone (generalmente vinculados a las autoridades) en Rusia y otros países.
Poco después, Kaspersky publicó un informe sobre el ataque, que tenía como método la introducción de módulos de seguridad. software espía en iPhone. Todo lo que se necesitaba era enviar un archivo adjunto especial a través de iMessage para que comenzara la exploración, sin ninguna interacción adicional por parte del usuario.
El objetivo de este ataque era el espionaje. Recopilación de cualquier información de dispositivos: geolocalización, cámaras, micrófonos, archivos, contactos. En general, todos los datos que se pueden mostrar en el dispositivo.
Semanas después de publicar esta información, Apple reconoció el problema y lo clasificó en dos vulnerabilidades (CVE-2023-32434 y CVE-2023-32435), lanzando una actualización para el sistema y destacando que la falla representaba una amenaza para todas las versiones lanzadas antes de iOS. 10.7.
Curiosamente, la empresa mencionó a cuatro empleados de Kaspersky en la descripción de parches lanzado, lo que plantea dudas sobre qué habría impedido a Apple pagar la recompensa de hasta un millón de dólares prometida por cualquiera que descubriera una vulnerabilidad en sus sistemas.
Kaspersky no figura en las listas de sanciones a empresas rusas de Estados Unidos ni de la Unión Europea, aunque a partir de marzo de 2022 la Comisión Federal de Comunicaciones (Comisión Federal de Comunicacioneso FCC) de EE.UU. añadió a la empresa rusa a la lista de amenazas a la seguridad nacional, lo que podría, quién sabe, explicar la “política interna” citada por Apple.
vía 9to5Mac