De acordo com informações da agência global de língua russa IRTVa Maçã estaria se recusando a pagar uma recompensa à empresa de segurança Kaspersky por uma vulnerabilidade dia zero no iOS corrigida no ano passado.
O caso foi relatado pelo chefe do centro de pesquisa russo da Kaspersky, Dmitry Galov, que afirmou que a Apple negociou até mesmo a doar o dinheiro da recompensa (que poderia chegar a US$1 milhão) a instituições de caridade, citando a política doméstica para explicar a (in)ação, sem fornecer mais explicações.
Descobrir vulnerabilidades dia zero e clique zero, falamos todas as informações para a Apple, fizemos uma coisa útil. Na verdade, relatamos a eles uma vulnerabilidade pela qual eles têm que pagar uma recompensa por bug.
A vulnerabilidade em questão foi relatada após uma denúncia do Serviço Federal de Segurança (Federal’naya Sluzhba Bezopasnosti Rossiyskoy Federatsiiou FSB) russo, de que uma ação de inteligência de empresas americanas seria conduzida utilizando dispositivos móveis da Apple — que teria infectado milhares de iPhones (geralmente ligados a autoridades) na Rússia e em outros países.
Logo depois, a Kaspersky publicou um relatório sobre o ataqueo qual tinha como método a introdução de módulos de spyware em iPhones. Basta enviar um anexo especial através do iMessage para que a exploração se inicie — sem qualquer interação adicional por parte do usuário.
O objetivo desse ataque foi espionagem. Coleta de qualquer informação de dispositivos: geolocalização, câmeras, microfones, arquivos, contatos. Em geral, todos os dados que podem ser apresentados no dispositivo.
Semanas após a publicação dessas informações, a Apple identificou o problema e o classificou em duas vulnerabilidades (a CVE-2023-32434 sim CVE-2023-32435), lançando uma atualização para o sistema e destacando que a falha representava uma ameaça para todas as versões lançadas anteriores ao iOS 10.7.
Curiosamente, a empresa envolveu quatro funcionários da Kaspersky na descrição dos manchas lançados — o que levanta dúvidas sobre o que teria impedido a Maçã de pagar a recompensa de até US$ 1 milhão prometida por ela para quem descobrir alguma vulnerabilidade em seus sistemas.
A Kaspersky não está nas listas de avaliações de empresas russas dos Estados Unidos ou da União Europeia, embora em março de 2022 a Comissão Federal de Comunicações (Comissão Federal de Comunicaçõesou FCC) dos EUA tenha adicionado a companhia russa à lista de ameaças à segurança nacional — o que poderia, quem sabe, explicar a “política doméstica” mencionada pela Maçã.
através da 9to5Mac