De acordo com informações da agência global de língua russa RTVI, a Apple estaria se recusando a pagar uma recompensa à empresa de segurança Kaspersky por uma vulnerabilidade zero-day no iOS corrigida no ano passado.
O caso foi relatado pelo chefe do centro de pesquisa russo da Kaspersky, Dmitry Galov, o qual afirmou que a Apple negou-se até mesmo a doar o dinheiro da recompensa (que poderia chegar a US$1 milhão) a instituições de caridade, citando a política doméstica para justificar a (in)ação, sem fornecer mais explicações.
Encontramos vulnerabilidades zero-day e zero-click, passamos todas as informações para a Apple, fizemos uma coisa útil. Na verdade, relatamos a eles uma vulnerabilidade pela qual eles têm que pagar uma recompensa por bug.
A vulnerabilidade em questão foi relatada após uma denúncia do Serviço Federal de Segurança (Federal’naya Sluzhba Bezopasnosti Rossiyskoy Federatsii, ou FSB) russo, de que uma ação de inteligência de empresas americanas estaria sendo conduzida utilizando dispositivos móveis da Apple — a qual teria infectado milhares de iPhones (geralmente ligados a autoridades) na Rússia e em outros países.
Logo depois, a Kaspersky publicou um relatório sobre o ataque, o qual tinha como método a introdução de módulos de spyware em iPhones. Bastava enviar um anexo especial através do iMessage para que a exploração iniciasse — sem qualquer interação adicional por parte do usuário.
O objetivo desse ataque foi espionagem. Coleta de qualquer informação de dispositivos: geolocalização, câmeras, microfones, arquivos, contatos. Em geral, todos os dados que podem ser apresentados no dispositivo.
Semanas após a publicação dessas informações, a Apple reconheceu o problema e o classificou em duas vulnerabilidades (a CVE-2023-32434 e a CVE-2023-32435), lançando uma atualização para o sistema e destacando que a falha representava uma ameaça para todas as versões lançadas antes do iOS 10.7.
Curiosamente, a empresa mencionou quatro funcionários da Kaspersky na descrição dos patches lançados — o que levanta dúvidas sobre o que teria impedido a Maçã de pagar a recompensa de até US$ 1 milhão prometida por ela para quem descobre alguma vulnerabilidade nos seus sistemas.
A Kaspersky não está nas listas de sanções a empresas russas dos Estados Unidos ou da União Europeia, embora em março de 2022 a Comissão Federal de Comunicações (Federal Communications Commission, ou FCC) dos EUA tenha adicionado a companhia russa à lista de ameaças à segurança nacional — o que poderia, quem sabe, explicar a “política doméstica” citada pela Maçã.
via 9to5Mac
