Bug bounty recusado? Entendendo a disputa da Apple com a Kaspersky nesta quinta-feira

Fonte: CenárioMT

Bug bounty negado: Entendendo a disputa da Apple com a Kaspersky

Uma disputa delicada surgiu com a Apple, após a mesma recusar recompensar uma bug bounty feita pela Kaspersky, uma empresa de cybersegurança russa. O cerne da questão gira em torno de um programa de recompensa por bugs e acusações de espionagem patrocinada por governos. Vamos aos detalhes:

Bug Bounty: Incentivando pesquisadores de segurança

Bug bounty negado: Entendendo a disputa da Apple com a Kaspersky

Empresas como a Apple oferecem programas de bug bounty para estimular pesquisadores de segurança a encontrarem vulnerabilidades (falhas) em seus softwares. Esses pesquisadores então relatam as vulnerabilidades para a empresa em vez de vendê-las para criminosos virtuais que poderiam explorá-las para seu próprio ganho. Isso ajuda as empresas a identificar e corrigir brechas de segurança antes que elas sejam usadas em ataques.

Descoberta da Kaspersky e recusa da Apple

Bug bounty negado: Entendendo a disputa da Apple com a Kaspersky
Créditos: Kaspersky
[-CONTINUA APÓS A PUBLICIDADE-]

A Kaspersky Lab descobriu quatro vulnerabilidades críticas (vulnerabilidades de dia zero – previamente desconhecidas) no software do iPhone da Apple. Essas vulnerabilidades teriam sido usadas para espionar funcionários da Kaspersky e, possivelmente, diplomatas russos. A Kaspersky acreditava ter direito a uma recompensa sob o programa de bug bounty da Apple, mas o pedido foi negado, citando sua “política específica”. A Apple se manteve em silêncio sobre o motivo exato da recusa.

Operação triângulo: Um ataque sofisticado

A Kaspersky divulgou publicamente essa suspeita de campanha de espionagem de alto nível, codinome “Operação Triângulo”. A complexidade dos métodos de ataque e a natureza direcionada – buscando inteligência e não ganhos financeiros – sugeriam a presença de atores apoiados por governos.

Troca de acusações: EUA, Apple e FSB

Bug bounty negado: Entendendo a disputa da Apple com a Kaspersky

No mesmo dia da divulgação da Kaspersky, o Serviço Federal de Segurança da Rússia (FSB) acusou os EUA e a Apple de colaborarem para permitir a espionagem americana de diplomatas russos. Embora o FSB tenha oferecido detalhes limitados, a agência de segurança cibernética da Rússia alegou que os métodos de ataque usados contra a Kaspersky e os diplomatas eram semelhantes.

Uma peça crucial da evidência foi uma vulnerabilidade (CVE-2023-38606) que tinha como alvo um recurso de hardware incomum não utilizado no sistema operacional do iPhone. Essa anomalia sugeria que poderia ser um recurso de depuração remanescente ou incluído acidentalmente. A Kaspersky não conseguiu determinar como os invasores exploraram essa vulnerabilidade ou qual era seu propósito original.

A Apple negou veementemente as acusações de colaboração com qualquer governo para espionar usuários.

Tensões geopolíticas: Relações EUA-Rússia e Kaspersky

A disputa se desenrolou em um cenário de crescentes tensões entre os EUA e a Rússia após a invasão da Ucrânia. A Apple, uma empresa americana, já havia suspendido as vendas de produtos na Rússia e restringido o acesso a seus serviços por lá.

Embora a Kaspersky não tenha sido diretamente sancionada pelos EUA em relação ao conflito na Ucrânia, o Departamento de Segurança Interna havia anteriormente banido seus produtos de uso governamental devido a preocupações de segurança decorrentes do amplo controle que o software antivírus tem sobre um sistema de computador, juntamente com a origem russa da Kaspersky.

A Kaspersky enfrenta acusações de permitir que o FSB use seu software antivírus para vasculhar computadores em busca de inteligência. No entanto, essas alegações permanecem infundadas e a Kaspersky nega, afirmando que qualquer material classificado encontrado seria imediatamente excluído.

Caridade e o futuro da divulgação de vulnerabilidades

Bug bounty negado: Entendendo a disputa da Apple com a Kaspersky
Créditos: SurfShark

O chefe de pesquisa da Kaspersky mencionou que empresas de cibersegurança geralmente doam recompensas de bug bounty para instituições de caridade. Não está claro se a Kaspersky pretendia fazer isso neste caso ou se a recusa da Apple influenciará suas futuras divulgações de vulnerabilidades.

Questões em aberto e dúvidas persistentes

[-CONTINUA APÓS A PUBLICIDADE-]

Essa situação levanta várias questões:

  • Qual foi o motivo específico da Apple para negar o bug bounty para a Kaspersky? Havia suspeita sobre as próprias vulnerabilidades ou as intenções da Kaspersky?
  • O clima geopolítico influenciou a decisão da Apple?
  • A Kaspersky continuará divulgando vulnerabilidades para a Apple apesar da disputa?
  • Como os programas de bug bounty podem ser estruturados para garantir transparência e confiança entre empresas e pesquisadores de segurança?

A falta de comunicação oficial da Apple deixa espaço para especulação e cria incerteza para os pesquisadores que dependem dos programas de bug bounty para seu trabalho.