Το 2023, η Kaspersky Lab εντόπισε κρίσιμες ευπάθειες στο λειτουργικό σύστημα iOS που επέτρεπε στους κυβερνοεγκληματίες να παραβιάσουν οποιοδήποτε iPhone όπως και την εγκατάσταση λογισμικού κατασκοπείας. Συνήθως, σε τέτοιες περιπτώσεις, ο προγραμματιστής λογισμικού οφείλει να καταβάλει αμοιβή βάσει του προγράμματος Bug Bounty.
Ενώ η Apple διαθέτει ένα τέτοιο πρόγραμμα, ωστόσο αρνήθηκε να καταβάλει το ποσό που έφτανε έως και 1 εκατομμύριο δολάρια στους Ρώσους ειδικούς που ανέφεραν τις ευπάθειες.
Σύμφωνα με τον επικεφαλή του ρωσικού ερευνητικού κέντρου της Kaspersky Lab, Ντμίτρι Γκάλοφ, η εταιρεία ανακάλυψε αρκετές κρίσιμες ευπάθειες zero-day στο iOS που μπορούν να αξιοποιηθούν εξ αποστάσεως χωρίς καν αλληλεπίδραση με τον χρήστη. Η ενημέρωση κοινοποιήθηκε στην Apple, η οποία όμως αγνόησε επιδεικτικά αυτή την προσπάθεια των προγραμματιστών, και αρνήθηκε να καταβάλει την οφειλόμενη αμοιβή από το πρόγραμμα επιβράβευσης Security Bounty.
Μετά τη δημοσίευση και την επιβεβαίωση της πληροφορίας, η Apple κυκλοφόρησε ενημερώσεις για τη διόρθωση των τρωτών σημείων CVE-2023-32434 και CVE-2023-32435 στο iOS και ανέφερε ότι αυτό το πέτυχαν οι υπάλληλοι της Kaspersky. Παρόλα αυτά, η εταιρεία αρνήθηκε να καταβάλει το ανάλογο χρηματικό ποσό που πληρώνεται σε τέτοιες περιπτώσεις στους Ρώσους ειδικούς ασφαλείας στο κυβερνοχώρο.
Η Kaspersky Lab δήλωσε ότι δεν έχει ανάγκη από οικονομική επιβράβευση, ωστόσο, τα ποσά αυτά κατευθύνονται συνήθως σε φιλανθρωπικούς σκοπούς. Η Apple αρνήθηκε να καταβάλει το ποσό ακόμη και σε φιλανθρωπικούς οργανισμούς, επικαλούμενη εσωτερική πολιτική χωρίς περαιτέρω εξηγήσεις.
Ως αποτέλεσμα του περιστατικού, η Kaspersky Lab αποφάσισε να σταματήσει τη χρήση συσκευών Apple και να μεταφέρει όλους τους εργαζομένους της σε Android. Σύμφωνα με τον Ντμίτρι Γκάλοφ, η πλατφόρμα Android προσφέρει περισσότερες δυνατότητες για την εξασφάλιση της ασφάλειας και τον έλεγχο της λειτουργίας των συσκευών.
Η Apple δεν έχει ακόμη σχολιάσει την άρνηση καταβολής της αμοιβής στο πλαίσιο του προγράμματος Security Bounty.
Από τη δικιά μας μεριά, οφείλουμε να καταδικάσουμε τη στάση της Apple, διότι όταν ανακοινώνεται δημοσίως ένα πρόγραμμα Bug Bounty, υποτίθεται ότι παράλληλα ανακοινώνονται και οι όροι και οι προϋποθέσεις που μπορεί να συμμετέχει κάποιος προγραμματιστής, οπότε συνεπάγεται ότι παράλληλα ανακοινώνεται και ποιοι δεν επιτρέπεται να συμμετέχουν, ώστε να μην μπει κάποιος άσκοπα στη διαδικασία διερεύνησης ευπαθειών και χάσει το χρόνο του, εφόσον δεν είναι επιλέξιμος γιατί χρηματική αμοιβή.
Συνεπώς τέτοιου είδους ύπουλες ενέργειες θεωρούνται καταδικαστέες γιατί αμαυρώνουν το χώρο της κυβερνοασφάλειας και τη σπουδαία δουλειά που γίνεται στα προγράμματα Bug Bounty.