Kaspersky, la célèbre société russe de cybersécurité, a fait la une des journaux à la même époque l’année dernière après avoir découvert une chaîne d’attaque utilisant quatre vulnérabilités Zero Day d’iOS pour créer un exploit sans clic. Kaspersky a pu identifier et signaler l’une des vulnérabilités à Apple. Cependant, dans une mise à jour bizarre, Apple aurait refusé de payer la prime de sécurité pour la contribution de l’entreprise.
9to5Mac Security Bite vous est présenté exclusivement par Mosyle, la seule plateforme unifiée Apple. Rendre les appareils Apple prêts au travail et sécurisés pour l’entreprise est tout ce que nous faisons. Notre approche intégrée unique en matière de gestion et de sécurité combine des solutions de sécurité de pointe spécifiques à Apple pour un renforcement et une conformité entièrement automatisés, un EDR de nouvelle génération, un Zero Trust basé sur l’IA et une gestion exclusive des privilèges avec le MDM Apple le plus puissant et le plus moderne. sur le marché. Le résultat est une plateforme unifiée Apple entièrement automatisée, actuellement utilisée par plus de 45 000 organisations pour rendre des millions d’appareils Apple prêts à fonctionner sans effort et à un coût abordable. Demandez votre ESSAI PROLONGÉ aujourd’hui et comprenez pourquoi Mosyle est tout ce dont vous avez besoin pour travailler avec Apple.
Il est courant que les grandes entreprises technologiques comme Apple utilisent des programmes de primes de sécurité pour encourager les chercheurs et les pirates informatiques éthiques à trouver et à leur signaler les vulnérabilités plutôt que de les vendre à des acteurs malveillants, souvent des États-nations, qui pourraient les exploiter.
« Nous avons découvert des vulnérabilités Zero Day et Zero Click, transféré toutes les informations à Apple et fait un travail utile », a déclaré Dmitry Galov, directeur du centre de recherche russe de Kaspersky Lab. Le média russe RTVI. « Essentiellement, nous leur avons signalé une vulnérabilité, pour laquelle ils doivent payer une prime de bug. »
Galov a même proposé que Kaspersky fasse don de la prime à une œuvre caritative, mais Apple a rejeté cette proposition, citant des politiques internes sans explication. Il n’est pas rare que des sociétés de recherche fassent don de primes versées par de grandes entreprises à des œuvres caritatives. Certains y voient une extension de leur obligation éthique, mais cela contribue indéniablement à une réputation positive au sein de la communauté de la sécurité.
« Compte tenu de la quantité d’informations que nous leur avons fournies et de la façon dont nous l’avons fait de manière proactive, on ne sait pas pourquoi ils ont pris une telle décision. »
En 2023, Kaspersky divulgué publiquement une campagne d’espionnage hautement sophistiquée présumée lorsqu’elle a détecté des anomalies sur des dizaines d’iPhones sur son réseau. Elle a été surnommée Operation Trigulation, qui allait devenir l’attaque iOS la plus sophistiquée jamais conçue.
L’attaque a exploité une série de quatre vulnérabilités Zero Day enchaînées pour créer un exploit sans clic. Cela a permis aux attaquants d’élever leurs privilèges et d’exécuter du code à distance sur des iPhones compromis. Les utilisateurs n’auraient aucune idée que leur appareil était infecté, car le malware transmettrait des données sensibles, notamment des enregistrements de microphone, des photos et la géolocalisation, aux serveurs contrôlés par l’attaquant.
Non seulement Kaspersky a découvert la campagne, mais son laboratoire de recherche a procédé à une ingénierie inverse de l’une de ses vulnérabilités dans la chaîne d’attaque, identifiée comme CVE-2023-38606. Ils ont découvert que le noyau au cœur du système d’exploitation iOS était utilisé pour exécuter du code arbitraire et élever les privilèges des utilisateurs. Apple a été informé et la société n’a pas tardé à publier des correctifs de sécurité d’urgence, faisant référence à l’équipe de Kaspersky à l’origine de la découverte de la faille.
Selon Apple Programme de primes de sécurité, la récompense pour la découverte de telles vulnérabilités peut atteindre 1 million de dollars. Il est crucial de conserver cette récompense, car les Zero Days iOS non signalés peuvent se vendre bien au-delà d’un million de dollars dans les coins du Dark Web.
La raison probable pour laquelle
Bien que Kaspersky soit une entreprise multinationale, elle a été fondée et a son siège en Russie, un pays que les États-Unis ont lourdement sanctionné en raison de la guerre en Ukraine. Cela pourrait sérieusement restreindre les transactions financières entre les entreprises américaines et celles de la région.
De plus, selon Apple Security Bounty’s termes et conditions« Les récompenses Apple Security Bounty peuvent ne pas vous être versées si vous vous trouvez dans un pays sous embargo américain ou si vous figurez sur la liste des ressortissants spécialement désignés du département du Trésor américain, sur la liste des personnes ou des entités refusées du ministère du Commerce des États-Unis, ou sur toute autre liste de parties restreintes. .»
Je pense que les mains d’Apple sont liées ici, mais j’aimerais entendre votre opinion dans les commentaires. Toute la situation est malheureuse. J’aurais aimé voir cette prime versée si Kaspersky voulait réellement respecter cela.
Suivez Arin : Twitter/X, LinkedIn, Sujets
Plus dans cette série
FTC : Nous utilisons des liens d’affiliation automatique générateurs de revenus. Plus.
