9to5Macによると、ロシアの大手サイバーセキュリティ企業カスペルスキーは、iOSの重大なゼロデイ脆弱性の発見に対する報奨金の支払いをAppleが拒否したことを明らかにし、騒動を巻き起こした。この脆弱性は、カスペルスキー社が昨年発見した「オペレーション・トライアンギュレーション」と呼ばれる高度なスパイ活動の一部である。

カスペルスキーによれば、同社はAppleに対し脆弱性に関する詳細な情報を積極的に提供し、報奨金を慈善団体に寄付することを申し出たが、Appleは具体的な説明をせずに拒否したという。

このゼロデイ脆弱性は、Triangulation キャンペーンで悪用された 4 つの脆弱性のうちの 1 つであり、攻撃者が影響を受ける iPhone デバイスを侵害して完全に制御できるようになります。

カスペルスキー社は、攻撃チェーンにおける脆弱性の1つ（コード名：CVE-2023-38606）をリバースエンジニアリングしました。セキュリティ専門家は、iOS オペレーティング システム カーネルが任意のコードの実行やユーザー権限の昇格に使用されていることを発見しました。カスペルスキーはこれらの脆弱性の1つを分析して報告し、Appleが緊急セキュリティパッチをリリースするのに貢献した。

Apple のバグ報奨金プログラムでは、ゼロデイ脆弱性を発見すると最大 100 万ドルの報奨金が得られる可能性がある。しかし、カスペルスキーが米国の制裁下にあるロシアに拠点を置いていることが、アップルが報奨金を支払えない理由かもしれない。

Appleの決定はサイバーセキュリティ界で大きな論争を引き起こした。一部の専門家は、制裁に違反しないよう、アップルはカスペルスキーに代わって報奨金を慈善団体に寄付するなど、より柔軟な対応を取るべきだったと指摘している。