Apple cũng như một số công ty công nghệ lớn thường có những chương trình tiền thưởng lỗ hổng để khuyến khích các nhà nghiên cứu và hacker tìm, báo cáo lỗ hổng cho Apple thay vì bán chúng cho những kẻ xấu. Việc duy trì mức thưởng trong chương trình rất quan trọng bởi các lỗ hổng zero-day trên iOS chưa được báo cáo có thể được bán với giá cao hơn nhiều so với một triệu USD trên các thị trường web đen.
Giám đốc Trung tâm nghiên cứu của Kaspersky Lab tại Nga - Dmitry Galov cho biết: Chúng tôi đã tìm thấy lỗ hổng zero-click và chuyển giao tất cả thông tin liên quan cho Apple cũng như đã hoàn thành một số công việc hữu ích. Về bản chất, chúng tôi đã báo cáo lỗ hổng cho Apple và Apple phải trả số tiền thưởng lỗ hổng cho việc này. Ngoài ra, xét đến lượng thông tin mà chúng tôi cung cấp cho Apple cũng như mức độ chủ động thì không rõ tại sao Apple lại đưa ra quyết định không chi trả.
Dmitry Galov thậm chí còn đề xuất Kaspersky sẽ quyên góp số tiền thưởng cho tổ chức từ thiện. Trên thực tế, việc các công ty nghiên cứu quyên góp tiền thưởng không phải là điều hiếm. Đây cũng có thể coi là sự mở rộng nghĩa vụ đạo đức và góp phần xây dựng danh tiếng tích cực trong cộng đồng bảo mật.
Trước đó, vào năm 2023, Kaspersky đã công khai tiết lộ về một chiến dịch gián điệp có tên Operation Triangulation và được đánh giá là khá phức tạp khi phát hiện ra hoạt động bất thường từ hàng chục iPhone trên mạng của họ.
Được biết, cuộc tấn công đã tận dụng chuỗi lỗ hổng zero-day được kết nối với nhau nhằm tạo ra lỗ hổng khai thác zero-click. Điều này cho phép kẻ tấn công nâng cao quyền truy cập và thực thi mã từ xa trên các thiết bị iPhone bị xâm phạm. Vì vậy, người dùng sẽ không biết thiết bị của mình bị nhiễm độc.
Không dừng lại ở việc phát hiện mà phòng nghiên cứu của Kaspersky còn đảo ngược kỹ thuật của một lỗ hổng trong chuỗi tấn công. Không lâu sau đó, Apple được thông báo và đã đưa ra những bản vá bảo mật khẩn cấp, ghi nhận nhóm nghiên cứu tại Kaspersky là bên phát hiện ra lỗ hổng.
Nguyên nhân không trả thưởng được Apple đưa ra là do chính sách nội bộ và không giải thích rõ ràng những vấn đề liên quan.
Trong điều khoản và điều kiện của Chương trình tiền thưởng Lỗ hổng Apple cho thấy: Tiền thưởng có thể không được trả nếu người phát hiện ở bất kỳ quốc gia nào bị Mỹ cấm vận hoặc nằm trong danh sách công dân đặc biệt của Bộ Tài chính Mỹ. Ngoài ra, danh sách người bị từ chối của Bộ Thương mại Mỹ hoặc bất kỳ danh sách bên bị hạn chế nào khác cũng có thể không được nhận thưởng.
Kaspersky thực chất là một công ty đa quốc gia nhưng lại được thành lập và đặt trụ sở chính tại Nga. Trong khi đó, Nga là quốc gia đang bị Mỹ trừng phạt nặng nề do cuộc chiến tranh ở Ukraine. Phải chăng chính điều này đã gây ra hạn chế nghiêm trọng đối với các giao dịch tài chính của các công ty Mỹ và các công ty trong khu vực?
