Laut 9to5Mac sorgte Kaspersky, Russlands führendes Cybersicherheitsunternehmen, für Aufsehen, als es bekannt gab, dass Apple sich weigerte, für die Entdeckung einer schwerwiegenden Zero-Day-Sicherheitslücke in iOS eine Belohnung zu zahlen. Die Sicherheitslücke ist Teil einer ausgeklügelten Spionagekampagne namens „Operation Triangulation“, die letztes Jahr von Kaspersky entdeckt wurde.

Laut Kaspersky haben sie Apple proaktiv ausführliche Informationen über die Sicherheitslücke bereitgestellt und angeboten, die Prämie für wohltätige Zwecke zu spenden, was Apple jedoch ohne konkrete Begründung abgelehnt hat.

Diese Zero-Day-Sicherheitslücke ist Teil einer Reihe von vier Sicherheitslücken, die in der Triangulation-Kampagne ausgenutzt werden und es Angreifern ermöglichen, betroffene iPhone-Geräte zu kompromittieren und die vollständige Kontrolle darüber zu übernehmen.

Kaspersky hat sogar eine der Schwachstellen in der Angriffskette mit dem Codenamen CVE-2023-38606 zurückentwickelt. Sicherheitsexperten haben herausgefunden, dass der Kernel des iOS-Betriebssystems dazu verwendet wird, beliebigen Code auszuführen und Benutzerrechte zu erhöhen. Kaspersky hat eine dieser Schwachstellen analysiert und gemeldet und so Apple dabei geholfen, einen Notfall-Sicherheitspatch zu veröffentlichen.

Im Rahmen des Bug-Bounty-Programms von Apple kann das Entdecken von Zero-Day-Sicherheitslücken zu Belohnungen von bis zu einer Million US-Dollar führen. Allerdings könnte die Tatsache, dass Kaspersky seinen Sitz in Russland hat, einem Land, das unter US-Sanktionen steht, der Grund dafür sein, dass Apple die Belohnung nicht zahlen kann.

Die Entscheidung von Apple hat in der Cybersicherheits-Community für große Kontroversen gesorgt. Einige Experten meinen, Apple hätte flexibler vorgehen sollen, etwa die Prämie im Namen von Kaspersky an eine Wohltätigkeitsorganisation spenden sollen, um die Sanktionen nicht zu verletzen.