Uma disputa delicada surgiu com a Apple, após a mesma recusar recompensar uma bug bounty feita pela Kaspersky, uma empresa de cybersegurança russa. O cerne da questão gira em torno de um programa de recompensa por bugs e acusações de espionagem patrocinada por governos. Vamos aos detalhes:
Bug Bounty: Incentivando pesquisadores de segurança
Empresas como a Apple oferecem programas de bug bounty para estimular pesquisadores de segurança a encontrarem vulnerabilidades (falhas) em seus softwares. Esses pesquisadores então relatam as vulnerabilidades para a empresa em vez de vendê-las para criminosos virtuais que poderiam explorá-las para seu próprio ganho. Isso ajuda as empresas a identificar e corrigir brechas de segurança antes que elas sejam usadas em ataques.
Descoberta da Kaspersky e recusa da Apple
A Kaspersky Lab descobriu quatro vulnerabilidades críticas (vulnerabilidades de dia zero – previamente desconhecidas) no software do iPhone da Apple. Essas vulnerabilidades teriam sido usadas para espionar funcionários da Kaspersky e, possivelmente, diplomatas russos. A Kaspersky acreditava ter direito a uma recompensa sob o programa de bug bounty da Apple, mas o pedido foi negado, citando sua “política específica”. A Apple se manteve em silêncio sobre o motivo exato da recusa.
Operação triângulo: Um ataque sofisticado
A Kaspersky divulgou publicamente essa suspeita de campanha de espionagem de alto nível, codinome “Operação Triângulo”. A complexidade dos métodos de ataque e a natureza direcionada – buscando inteligência e não ganhos financeiros – sugeriam a presença de atores apoiados por governos.
Troca de acusações: EUA, Apple e FSB
No mesmo dia da divulgação da Kaspersky, o Serviço Federal de Segurança da Rússia (FSB) acusou os EUA e a Apple de colaborarem para permitir a espionagem americana de diplomatas russos. Embora o FSB tenha oferecido detalhes limitados, a agência de segurança cibernética da Rússia alegou que os métodos de ataque usados contra a Kaspersky e os diplomatas eram semelhantes.
Uma peça crucial da evidência foi uma vulnerabilidade (CVE-2023-38606) que tinha como alvo um recurso de hardware incomum não utilizado no sistema operacional do iPhone. Essa anomalia sugeria que poderia ser um recurso de depuração remanescente ou incluído acidentalmente. A Kaspersky não conseguiu determinar como os invasores exploraram essa vulnerabilidade ou qual era seu propósito original.
A Apple negou veementemente as acusações de colaboração com qualquer governo para espionar usuários.
Tensões geopolíticas: Relações EUA-Rússia e Kaspersky
A disputa se desenrolou em um cenário de crescentes tensões entre os EUA e a Rússia após a invasão da Ucrânia. A Apple, uma empresa americana, já havia suspendido as vendas de produtos na Rússia e restringido o acesso a seus serviços por lá.
Embora a Kaspersky não tenha sido diretamente sancionada pelos EUA em relação ao conflito na Ucrânia, o Departamento de Segurança Interna havia anteriormente banido seus produtos de uso governamental devido a preocupações de segurança decorrentes do amplo controle que o software antivírus tem sobre um sistema de computador, juntamente com a origem russa da Kaspersky.
A Kaspersky enfrenta acusações de permitir que o FSB use seu software antivírus para vasculhar computadores em busca de inteligência. No entanto, essas alegações permanecem infundadas e a Kaspersky nega, afirmando que qualquer material classificado encontrado seria imediatamente excluído.
Caridade e o futuro da divulgação de vulnerabilidades
O chefe de pesquisa da Kaspersky mencionou que empresas de cibersegurança geralmente doam recompensas de bug bounty para instituições de caridade. Não está claro se a Kaspersky pretendia fazer isso neste caso ou se a recusa da Apple influenciará suas futuras divulgações de vulnerabilidades.
Questões em aberto e dúvidas persistentes
Essa situação levanta várias questões:
- Qual foi o motivo específico da Apple para negar o bug bounty para a Kaspersky? Havia suspeita sobre as próprias vulnerabilidades ou as intenções da Kaspersky?
- O clima geopolítico influenciou a decisão da Apple?
- A Kaspersky continuará divulgando vulnerabilidades para a Apple apesar da disputa?
- Como os programas de bug bounty podem ser estruturados para garantir transparência e confiança entre empresas e pesquisadores de segurança?
A falta de comunicação oficial da Apple deixa espaço para especulação e cria incerteza para os pesquisadores que dependem dos programas de bug bounty para seu trabalho.
