La renombrada firma rusa de ciberseguridad, Kaspersky, saltó a los titulares hace un año después de descubrir una cadena de ataque que utilizaba cuatro vulnerabilidades zero-day de iOS para crear un exploit sin clicks. Kaspersky logró identificar y reportar una de las vulnerabilidades a Apple. Sin embargo, en una actualización sorprendente, Apple supuestamente se niega a pagar la recompensa de seguridad por la contribución de la firma.
9to5Mac Security Bite es exclusivamente traído a usted por Mosyle, la única Plataforma Unificada de Apple. Hacer que los dispositivos Apple estén listos para trabajar y seguros para la empresa es todo lo que hacemos. Nuestro enfoque único e integrado para la gestión y seguridad combina soluciones de seguridad específicas de Apple de última generación para Endurecimiento y Cumplimiento totalmente automatizados, EDR de próxima generación, Confianza Cero impulsada por IA y Administración de Privilegios exclusiva con el MDM de Apple más potente y moderno del mercado. El resultado es una Plataforma Unificada de Apple totalmente automatizada en la que confían actualmente más de 45,000 organizaciones para hacer que millones de dispositivos Apple estén listos para trabajar sin esfuerzo y a un costo asequible. Solicite su PRUEBA EXTENDIDA hoy mismo y entienda por qué Mosyle lo tiene todo lo que necesita trabajar con Apple.
Es común que grandes empresas de tecnología como Apple utilicen programas de recompensas de seguridad para alentar a investigadores y hackers éticos a encontrar y reportar vulnerabilidades en lugar de venderlas a actores malintencionados, a menudo estados nación, que podrían explotarlas.
“Encontramos vulnerabilidades zero-day sin clicks, transferimos toda la información a Apple, y hicimos un trabajo útil”, dijo Dmitry Galov, jefe del centro de investigación ruso de Kaspersky Lab, a la agencia de noticias rusa RTVI. “Básicamente, les reportamos una vulnerabilidad, por la cual deben pagar una recompensa por bugs”.
Galov incluso propuso que Kaspersky donara la recompensa a la caridad, pero Apple rechazó esto, citando políticas internas sin explicación. No es raro que empresas de investigación donen pagos de recompensas de grandes empresas a organizaciones benéficas. Algunos lo perciben como una extensión de su obligación ética, pero sin duda contribuye a una reputación positiva dentro de la comunidad de seguridad.
“Considerando la cantidad de información que les proporcionamos y lo proactivamente que lo hicimos, no está claro por qué tomaron tal decisión.”
En 2023, Kaspersky reveló públicamente una presunta campaña de espionaje altamente sofisticada cuando detectó anomalías en docenas de iPhones en su red. Fue apodada Operación Trigulación, que se convertiría en el ataque a iOS más sofisticado jamás construido.
El ataque aprovechó una serie de cuatro vulnerabilidades zero-day encadenadas para crear un exploit sin clicks. Permitía a los atacantes elevar los privilegios y ejecutar código remoto en iPhones comprometidos. Los usuarios no tendrían idea de que su dispositivo estaba infectado, ya que el malware transmitiría datos sensibles, incluidas grabaciones de micrófono, fotos y geolocalización, a servidores controlados por el atacante.
No solo Kaspersky descubrió la campaña, sino que su laboratorio de investigación realizó ingeniería inversa en una de sus vulnerabilidades de la cadena de ataque, rastreada como CVE-2023-38606. Descubrieron que el kernel en el corazón del sistema operativo iOS se estaba utilizando para ejecutar código arbitrario y elevar los privilegios del usuario. Apple fue notificado, y no pasó mucho tiempo antes de que la empresa lanzara parches de seguridad de emergencia, haciendo referencia al equipo de Kaspersky que descubrió la falla.
Según el Programa de Recompensas de Seguridad de Apple, la recompensa por descubrir tales vulnerabilidades puede ser de hasta $1 millón. Es crucial mantener esta recompensa, ya que los zero-days de iOS no reportados pueden venderse por mucho más de un millón de dólares en rincones de la web oscura.
La razón probable
Aunque Kaspersky es una empresa multinacional, fue fundada y tiene su sede en Rusia, un país que Estados Unidos ha sancionado fuertemente debido a la guerra en Ucrania. Esto podría restringir severamente las transacciones financieras entre empresas estadounidenses y las de la región.
Además, según los términos y condiciones del Programa de Recompensas de Seguridad de Apple, “las recompensas del Programa de Recompensas de Seguridad de Apple no se le pagarán si se encuentra en cualquiera de los países embargados por los Estados Unidos o en la lista de Nacionales Especialmente Designados del Departamento del Tesoro de los Estados Unidos, en la Lista de Personas Denegadas del Departamento de Comercio de los Estados Unidos o en la Lista de Entidades , u otras listas de partes restringidas”.
Creo que las manos de Apple están atadas en este caso, pero me gustaría escuchar sus opiniones en los comentarios. Toda la situación es lamentable. Me hubiera gustado ver este dinero de recompensa donado si Kaspersky realmente iba a cumplir con esto
Sigue a Arin: Twitter/X, LinkedIn, Threads
Más en esta serie
FTC: Usamos enlaces de afiliados que generan ingresos. Más.