Apple bị Kaspersky cáo buộc không chi tiền thưởng phát hiện lỗ hổng bảo mật

Theo 9to5Mac, Kaspersky, công ty an ninh mạng hàng đầu của Nga, đã gây xôn xao dư luận khi tiết lộ Apple đã từ chối trả tiền thưởng cho việc họ phát hiện ra một lỗ hổng zero-day nghiêm trọng trên iOS. Lỗ hổng này là một phần của chiến dịch gián điệp tinh vi có tên 'Operation Triangulation', được Kaspersky phát hiện vào năm ngoái.

Các công ty công nghệ lớn như Apple thường sử dụng chương trình tiền thưởng lỗ hổng để khuyến khích các nhà nghiên cứu và hacker tìm và báo cáo lỗ hổng cho họ thay vì bán chúng cho những kẻ xấu, thường là các quốc gia, những kẻ có thể lợi dụng chúng.

"Chúng tôi đã tìm thấy các lỗ hổng zero-day, zero-click, chuyển giao tất cả thông tin cho Apple và đã hoàn thành một công việc hữu ích," Dmitry Galov, Giám đốc Trung tâm nghiên cứu của Kaspersky Lab tại Nga, nói với RTVI, một hãng thông tấn của Nga. "Về bản chất, chúng tôi đã báo cáo lỗ hổng cho họ, và họ phải trả tiền thưởng lỗ hổng cho việc này."

Galov thậm chí còn đề xuất Kaspersky quyên góp tiền thưởng cho tổ chức từ thiện, nhưng Apple đã từ chối, viện dẫn chính sách nội bộ mà không giải thích rõ ràng. Việc các công ty nghiên cứu quyên góp tiền thưởng do các công ty lớn trao tặng cho từ thiện là điều không hiếm gặp. Một số người coi đây là sự mở rộng nghĩa vụ đạo đức của họ, nhưng không thể phủ nhận rằng nó góp phần xây dựng danh tiếng tích cực trong cộng đồng bảo mật.

"Xét đến lượng thông tin chúng tôi cung cấp cho họ và mức độ chủ động của chúng tôi, thì không rõ tại sao họ lại đưa ra quyết định như vậy".

Lỗ hổng zero-day này nằm trong chuỗi 4 lỗ hổng được khai thác trong chiến dịch Triangulation, cho phép kẻ tấn công xâm nhập và kiểm soát hoàn toàn các thiết bị iPhone bị ảnh hưởng.

Thậm chí, Kaspersky còn thiết kế ngược một trong những lỗ hổng trong chuỗi tấn công, có tên mã CVE-2023-38606. Các chuyên gia bảo mật phát hiện ra rằng lõi kernel của hệ điều hành iOS đang được sử dụng để thực thi mã tùy ý và nâng cao đặc quyền của người dùng. Kaspersky đã phân tích và báo cáo về một trong những lỗ hổng này, giúp Apple phát hành bản vá bảo mật khẩn cấp.

Không lâu sau đó, Apple được thông báo và đã đưa ra những bản vá bảo mật khẩn cấp, ghi nhận nhóm nghiên cứu tại Kaspersky là bên phát hiện ra lỗ hổng.

Nguyên nhân không trả thưởng được Apple đưa ra là do chính sách nội bộ và không giải thích rõ ràng những vấn đề liên quan.

Theo Chương trình Tiền thưởng Lỗ hổng (Bug Bounty) của Apple, phần thưởng cho việc phát hiện các lỗ hổng như vậy có thể lên tới 1 triệu USD. Việc duy trì mức thưởng này là rất quan trọng, vì các lỗ hổng zero-day trên iOS chưa được báo cáo có thể được bán với giá cao hơn nhiều so với một triệu USD trên các thị trường web đen.

Trong điều khoản và điều kiện của Chương trình tiền thưởng Lỗ hổng Apple cho thấy: Tiền thưởng có thể không được trả nếu người phát hiện ở bất kỳ quốc gia nào bị Mỹ cấm vận hoặc nằm trong danh sách công dân đặc biệt của Bộ Tài chính Mỹ. Ngoài ra, danh sách người bị từ chối của Bộ Thương mại Mỹ hoặc bất kỳ danh sách bên bị hạn chế nào khác cũng có thể không được nhận thưởng.

Việc Kaspersky có trụ sở tại Nga, quốc gia đang bị Mỹ trừng phạt, có thể là lý do khiến Apple không thể trả thưởng.

Minh Anh (T/h)