Apple bị Kaspersky tố quỵt tiền: Báo cáo lỗ hổng bảo mật nghiêm trọng của iOS nhưng nhất quyết không chịu trả công

Kaspersky, công ty an ninh mạng nổi tiếng của Nga, đã thu hút sự chú ý của dư luận vào năm ngoái sau khi phát hiện chuỗi tấn công tận dụng bốn lỗ hổng zero-day trên iOS để tạo ra lỗ hổng khai thác zero-click. Kaspersky đã xác định và báo cáo một trong những lỗ hổng này cho Apple. Tuy nhiên, trong một diễn biến đáng tiếc, Apple được cho là đã từ chối trả tiền thưởng lỗ hổng cho nỗ lực của công ty.

Các công ty công nghệ lớn như Apple thường sử dụng chương trình tiền thưởng lỗ hổng để khuyến khích các nhà nghiên cứu và hacker tìm và báo cáo lỗ hổng cho họ thay vì bán chúng cho những kẻ xấu, thường là các quốc gia, những kẻ có thể lợi dụng chúng.

"Chúng tôi đã tìm thấy các lỗ hổng zero-day, zero-click, chuyển giao tất cả thông tin cho Apple và đã hoàn thành một công việc hữu ích," Dmitry Galov, Giám đốc Trung tâm nghiên cứu của Kaspersky Lab tại Nga, nói với RTVI, một hãng thông tấn của Nga. "Về bản chất, chúng tôi đã báo cáo lỗ hổng cho họ, và họ phải trả tiền thưởng lỗ hổng cho việc này."

Galov thậm chí còn đề xuất Kaspersky quyên góp tiền thưởng cho tổ chức từ thiện, nhưng Apple đã từ chối, viện dẫn chính sách nội bộ mà không giải thích rõ ràng. Việc các công ty nghiên cứu quyên góp tiền thưởng do các công ty lớn trao tặng cho từ thiện là điều không hiếm gặp. Một số người coi đây là sự mở rộng nghĩa vụ đạo đức của họ, nhưng không thể phủ nhận rằng nó góp phần xây dựng danh tiếng tích cực trong cộng đồng bảo mật.

"Xét đến lượng thông tin chúng tôi cung cấp cho họ và mức độ chủ động của chúng tôi, thì không rõ tại sao họ lại đưa ra quyết định như vậy."

Năm 2023, Kaspersky đã công khai tiết lộ về một chiến dịch gián điệp tinh vi được cho là rất phức tạp khi phát hiện ra các hoạt động bất thường từ hàng chục iPhone trên mạng của họ. Chiến dịch này được đặt tên là Operation Triangulation, được coi là cuộc tấn công iOS tinh vi nhất từng được thực hiện.

Cuộc tấn công tận dụng chuỗi bốn lỗ hổng zero-day được kết nối với nhau để tạo ra lỗ hổng khai thác zero-click. Nó cho phép kẻ tấn công nâng cao quyền truy cập và thực thi mã từ xa trên các iPhone bị xâm phạm. Người dùng sẽ không biết thiết bị của họ bị nhiễm vì phần mềm độc hại sẽ truyền dữ liệu nhạy cảm, bao gồm bản ghi âm micrô, ảnh và vị trí địa lý, đến các máy chủ do kẻ tấn phòng kiểm soát.

Kaspersky không chỉ khám phá ra chiến dịch này mà phòng nghiên cứu của họ còn đảo ngược kỹ thuật một trong những lỗ hổng trong chuỗi tấn công, được theo dõi là CVE-2023-38606. Họ phát hiện ra rằng nhân (kernel) - lõi của hệ điều hành iOS - đang được sử dụng để thực thi mã tùy ý và nâng cao quyền truy cập của người dùng. Apple đã được thông báo và không lâu sau đó, công ty đã phát hành các bản vá bảo mật khẩn cấp, ghi nhận nhóm nghiên cứu tại Kaspersky là bên phát hiện ra lỗ hổng.

Theo Chương trình Tiền thưởng Lỗ hổng (Bug Bounty) của Apple, phần thưởng cho việc phát hiện các lỗ hổng như vậy có thể lên tới 1 triệu USD. Việc duy trì mức thưởng này là rất quan trọng, vì các lỗ hổng zero-day trên iOS chưa được báo cáo có thể được bán với giá cao hơn nhiều so với một triệu USD trên các thị trường web đen.

Mặc dù Kaspersky là một công ty đa quốc gia, nhưng công ty này được thành lập và có trụ sở chính tại Nga, một quốc gia đang bị Mỹ trừng phạt nặng nề do cuộc chiến tranh ở Ukraine. Điều này có thể gây ra hạn chế nghiêm trọng đối với các giao dịch tài chính giữa các công ty Mỹ và các công ty trong khu vực.

Theo điều khoản và điều kiện của Chương trình tiền thưởng Lỗ hổng Apple, "Tiền thưởng có thể không được trả cho bạn nếu bạn ở bất kỳ quốc gia nào bị Mỹ cấm vận hoặc nằm trong danh sách công dân đặc biệt của Bộ Tài chính Mỹ, danh sách người bị từ chối của Bộ Thương mại Mỹ hoặc bất kỳ danh sách bên bị hạn chế nào khác."