Kaspersky, perusahaan keamanan siber Rusia yang terkenal, menjadi berita utama pada tahun lalu setelah mengungkap rantai serangan yang menggunakan empat kerentanan zero-day iOS untuk menciptakan eksploitasi zero-click. Kaspersky mampu mengidentifikasi dan melaporkan salah satu kerentanan tersebut kepada Apple. Namun, dalam pembaruan yang aneh, Apple dilaporkan menolak membayar imbalan keamanan atas kontribusi perusahaan tersebut.
9to5Mac Security Bite dipersembahkan secara eksklusif untuk Anda oleh Mosyle, satu-satunya Platform Terpadu Apple. Membuat perangkat Apple siap bekerja dan aman bagi perusahaan adalah satu-satunya hal yang kami lakukan. Pendekatan terintegrasi kami yang unik terhadap manajemen dan keamanan menggabungkan solusi keamanan canggih khusus Apple untuk Pengerasan & Kepatuhan yang sepenuhnya otomatis, EDR Generasi Berikutnya, Zero Trust yang didukung AI, dan Manajemen Privilege eksklusif dengan MDM Apple yang paling kuat dan modern di pasar. Hasilnya adalah Apple Unified Platform yang sepenuhnya otomatis dan saat ini dipercaya oleh lebih dari 45.000 organisasi untuk membuat jutaan perangkat Apple siap bekerja tanpa perlu bersusah payah dan dengan biaya terjangkau. Minta UJI COBA PERPANJANGAN Anda hari ini dan pahami mengapa Mosyle adalah segalanya yang Anda perlukan untuk bekerja dengan Apple.
Sudah menjadi hal yang lumrah bagi perusahaan teknologi besar seperti Apple untuk menggunakan program keamanan untuk mendorong peneliti dan peretas etis menemukan dan melaporkan kerentanan mereka dibandingkan menjualnya kepada aktor jahat, sering kali negara, yang mungkin mengeksploitasinya.
“Kami menemukan kerentanan zero-day, zero-click, mentransfer semua informasi ke Apple, dan melakukan pekerjaan yang bermanfaat,” kata Dmitry Galov, kepala pusat penelitian Rusia di Kaspersky Lab, kepada Outlet berita Rusia RTVI. “Pada dasarnya, kami melaporkan kerentanan pada mereka, sehingga mereka harus membayar bug bounty.”
Galov bahkan mengusulkan agar Kaspersky menyumbangkan hadiahnya untuk amal, namun Apple menolaknya, dengan alasan kebijakan internal tanpa penjelasan. Bukan hal yang aneh bagi perusahaan riset untuk mendonasikan pembayaran bounty dari perusahaan besar untuk amal. Beberapa orang menganggapnya sebagai perpanjangan dari kewajiban etis mereka, namun tidak dapat disangkal bahwa hal ini berkontribusi terhadap reputasi positif dalam komunitas keamanan.
“Mengingat banyaknya informasi yang kami berikan kepada mereka dan seberapa proaktif kami melakukannya, tidak jelas mengapa mereka mengambil keputusan seperti itu.”
Pada tahun 2023, Kaspersky diungkapkan kepada publik dugaan kampanye mata-mata yang sangat canggih ketika mendeteksi anomali dari lusinan iPhone di jaringannya. Itu di-dubbing Trigulasi Operasiyang akan menjadi serangan iOS tercanggih yang pernah dibuat.
Serangan tersebut memanfaatkan serangkaian empat kerentanan zero-day yang dirangkai bersama untuk menciptakan eksploitasi zero-click. Ini memungkinkan penyerang untuk meningkatkan hak istimewa dan mengeksekusi kode jarak jauh pada iPhone yang disusupi. Pengguna tidak akan tahu bahwa perangkat mereka terinfeksi, karena malware akan mengirimkan data sensitif, termasuk rekaman mikrofon, foto, dan geolokasi, ke server yang dikendalikan oleh penyerang.
Kaspersky tidak hanya mengungkap kampanye tersebut, namun laboratorium penelitiannya merekayasa balik salah satu kerentanan dalam rantai serangan, yang dilacak sebagai CVE-2023-38606. Mereka menemukan bahwa kernel di jantung sistem operasi iOS digunakan untuk mengeksekusi kode arbitrer dan meningkatkan hak pengguna. Apple diberitahu, dan tidak lama kemudian perusahaan tersebut merilis patch keamanan darurat, merujuk pada tim di Kaspersky di balik penemuan kelemahan tersebut.
Menurut Apple Program Hadiah Keamanan, imbalan untuk menemukan kerentanan tersebut bisa mencapai $1 juta. Sangat penting untuk mempertahankan penghargaan ini, karena zero-day iOS yang tidak dilaporkan dapat terjual dengan harga lebih dari satu juta dolar di sudut-sudut web gelap.
Kemungkinan alasannya
Meskipun Kaspersky adalah perusahaan multinasional, Kaspersky didirikan dan berkantor pusat di Rusia, negara yang mendapat sanksi berat dari Amerika Serikat akibat perang di Ukraina. Hal ini dapat sangat membatasi transaksi keuangan antara perusahaan-perusahaan AS dan perusahaan-perusahaan di wilayah tersebut.
Selain itu, menurut Apple Security Bounty's syarat dan Ketentuan“Penghargaan Apple Security Bounty tidak dapat dibayarkan kepada Anda jika Anda berada di negara yang diembargo AS atau masuk dalam daftar Warga Negara yang Ditunjuk Secara Khusus oleh Departemen Keuangan AS, Daftar Orang atau Daftar Entitas yang Ditolak Departemen Perdagangan AS, atau daftar pihak yang dibatasi lainnya .”
Saya yakin tangan Apple terikat di sini, tetapi saya ingin mendengar pendapat Anda di komentar. Seluruh situasi ini sangat disayangkan. Saya ingin melihat uang hadiah ini disumbangkan jika Kaspersky benar-benar akan menjunjung tinggi hal ini.
Ikuti Arin: Twitter/X, LinkedIn, benang
Selengkapnya di seri ini
FTC: Kami menggunakan tautan afiliasi otomatis yang menghasilkan pendapatan. Lagi.
