Apple, iOS’ta saldırganların herhangi bir iPhone’a casus yazılım yüklemesine olanak tanıyan kritik güvenlik açıklarını keşfetmesi nedeniyle Kaspersky Lab’e ödül ödemeyi reddetti.
RTVI’ya göre güvenlik açıkları 2023 yılında Apple’a bildirildi ve Apple Security Bounty programı kapsamında bu tür keşiflerden 1 milyon dolara kadar kazanç sağlanabiliyor.
Ancak Apple, ödülü Kaspersky Lab’e veya bir hayır kurumuna devretmeyi reddetti.
Kaspersky Lab’ın Keşfi ve Apple’ın Yanıtı
Kaspersky Lab’ın Rusya araştırma merkezi başkanı Dmitry Galov, Apple’ın kararıyla ilgili kafa karışıklığını ve hayal kırıklığını dile getirdi.
“Sıfır gün, sıfır tıklama güvenlik açıklarını bulduk, tüm bilgileri Apple’a aktardık ve düzgün bir iş çıkardık.
Temel olarak onlara, hata ödülü ödemeleri gereken bir güvenlik açığı bildirdik.
Bu ücrete ihtiyacımız yok, ancak büyük şirketler bu tür ödemeleri genellikle hayır kurumlarına bağışlıyor.
Galov, RTVI’ye verdiği demeçte, “Apple, iç politikaları gerekçe göstererek, bir hayır kurumuna bile olsa, herhangi bir açıklama yapmadan bize ödeme yapmayı reddetti” dedi.
Haziran 2023’ün başlarında FSB, Amerikan istihbarat servislerinin Apple mobil cihazlarını kullanan bir istihbarat kampanyasının keşfedildiğini duyurdu.
With ANYRUN You can Analyze any URL, Files & Email for Malicious Activity : Start your Analysis
Ajans, büyükelçilik ve diplomatik misyon çalışanlarınınkiler de dahil olmak üzere binlerce iPhone’un Rusya’da ve yurtdışında virüs bulaştığını bildirdi.
Aynı gün Kaspersky Lab, iOS’taki “en karmaşık siber saldırı” hakkında “Üçgenleme Operasyonu” adı verilen ayrıntılı bir rapor yayınladı.
“Saldırı, istismar içeren özel bir ek içeren bir iMessage gönderilmesini içeriyordu.
Açıktan yararlanma, herhangi bir kullanıcı etkileşimi olmadan kötü amaçlı kodun yürütülmesini tetikleyerek saldırganların iPhone’a sessizce casus yazılım yerleştirmesine olanak sağladı.
Kaspersky Lab, üst yönetim ve orta düzey yöneticiler de dahil olmak üzere çalışanlarının iPhone’larında casus yazılım modülleri buldu.
“Bu saldırının amacı casusluktu; cihazlardan gelen her türlü bilginin toplanmasıydı: Coğrafi konum, kameralar, mikrofonlar, dosyalar, kişiler.
Genel olarak cihazda gösterilebilecek tüm veriler.
Bu, finansal amaçlı bir siber saldırı değildi; örneğin saldırganlar, kullanıcıların bankacılık verilerini çalmak için çok fazla kaynak kullanmıyor.
Bunun üst düzey hedefli siber casusluk faaliyeti olduğundan eminiz” diye açıkladı Galov.
Apple’ın Teşekkürü ve Yama Yayını
Siber saldırı bilgilerinin kamuoyuna açıklanmasından birkaç hafta sonra Apple sorunu kabul etti ve iOS’taki güvenlik açıklarını düzeltmek için güncellemeler yayınladı.
CVE-2023-32434 ve CVE-2023-32435 olarak tanımlanan güvenlik açıkları, iOS 15.7’den önce yayımlanan tüm iOS sürümleri için tehdit oluşturuyordu.
Yayınlanan yamaların açıklamasında Apple, güvenlik açıklarını keşfeden dört Kaspersky Lab çalışanının adını verdi.
Kaspersky Lab’ın Android’e Geçişi
Siber saldırının tespit edilmesinin ardından Kaspersky Lab, tüm çalışanlarını Android işletim sistemi bulunan mobil cihazlara geçirdi.
“Geçen yıl şirket çalışanlarının iPhone’unda bir casus yazılım modülü keşfettikten sonra, [Kaspersky Lab] iOS’tan ayrıldım.
Artık tüm şirket çalışanlarına planlandığı gibi adım adım Android tabanlı kurumsal mobil cihazlar dağıtılıyor.
Galov, iOS’u daha az güvenli olduğu için değil, bir güvenlik satıcısı olarak cihaz güvenliği üzerinde daha fazla kontrole sahip olmak istediğimiz için bıraktık” dedi.
Kaspersky Lab’in kritik iOS güvenlik açıklarını tespit etme ve raporlama konusundaki önemli katkısına rağmen, Apple’ın ödülü ödemeyi veya bunu hayır kurumlarına bağışlamayı reddetmesi, iç politikaları ve karar alma süreçleriyle ilgili soruları gündeme getirdi.
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo