През 2023 година руската „Лаборатория Касперски“ откри уязвимости в iOS, които позволяват да се хакне всеки iPhone и да се инсталира шпионски софтуер на него. Обикновено в такива случаи разработчикът на софтуера изплаща възнаграждение - Bug Bounty, а Apple има такава програма за възнаграждения. Apple обаче не пожела да плати наградата, която можеше да достигне 1 млн. щ. долара, на руските експерти по киберсигурност, които откриха уязвимостта и съобщиха за нея на Apple.
RTVI съобщава, че според Дмитрий Галов, ръководител на руския изследователски център на Kaspersky Lab, неговата компания е открила няколко критични уязвимости от типа „нулев ден“ в iOS, които могат да бъдат експлоатирани дистанционно без взаимодействие с потребителя. Уязвимостите са били докладвани на Apple, но корпорацията е пренебрегнала собствената си програма за награди за грешки Security Bounty и е отказала да изплати обещаната награда в размер до 1 млн. долара.
Според Галов уязвимостите, открити от неговата компания, са били активно използвани от нападателите като част от мащабна кампания за кибершпионаж, наречена операция „Триангулация“. Целта на тази операция е била шпионаж, т.е. събиране на всякакви чувствителни данни от заразените iPhone-и, включително геолокация, файлове, снимки и видеоклипове от камерата, аудиозаписи от микрофона и много други. Жертвите на атаката са били собственици на iPhone по целия свят, включително служители на посолства и дипломатически мисии. Експлойтът се е стартирал чрез входящи съобщения, което означава, че потребителят дори не е трябвало да извършва никакви действия.
Според експертите на Лаборатория Касперски зад тази мащабна кампания за кибершпионаж стоят или търговски организации, или разузнавателните служби на някоя държава. Все още не е възможно да се идентифицира конкретният клиент.
След като информацията за откритите уязвимости беше публикувана и потвърдена, Apple пусна актуализации за отстраняване на тези уязвимости - CVE-2023-32434 и CVE-2023-32435 - в iOS и спомена поименно служителите на Kaspersky, които са ги открили. Корпорацията обаче пренебрегна собствената си програма за възнаграждения за откриване на уязвимости и отказа да изплати на руските експерти по сигурността дължимите им парични суми. Отбелязва се също така, че шпионският софтуер е представлявал заплаха за всички iOS, издадени преди iOS 15.7.
От „Лаборатория Касперски“ заявиха, че не се нуждаят от парично възнаграждение от Apple, но има практика такива средства да се даряват за благотворителност. Apple обаче отказва да плати дори на благотворителни организации, като се позовава на някаква вътрешна политика без никакво обяснение.
В резултат на този инцидент ръководството на „Лаборатория Касперски“ реши напълно да се откаже да използва устройства на Apple и да прехвърли всички служители на компанията на смартфони и таблети с Android. Според Дмитрий Галов платформата Android предлага повече възможности за гарантиране на сигурността и контрол на работата на устройствата.
Самата компания Apple все още не е коментирала ситуацията с отказа да изплати обещаното възнаграждение по обявената от нея програма Security Bounty.