Apple dává hackerům přátelské iPhony výzkumníkům, kteří hledají chyby iOS

(Úvěr: Apple)

Apple bude v rámci svého nově oznámeného programu Apple Security Research Device Program dodávat bezpečnostním výzkumníkům iPhony přátelské k hackerům se záznamem o odhalování zranitelností v softwaru Apple.



Odborníci využijí telefony k hledání vážných chyb v iOS. Kvalifikovaní výzkumníci mohou uplatnit zde získat jeden.

Nová zařízení jsou navržena tak, aby čelila dvojsečnému meči, pokud jde o zabezpečení iPhone. Apple má přísnou kontrolu nad iOS a nad tím, jak lze instalovat aplikace, což může zabránit malwaru v pronikání do jeho softwarového ekosystému. Stejný uzavřený ekosystém však může bezpečnostním výzkumníkům ztížit analýzu zranitelností iOS.





Stejné zranitelnosti mohou být nesmírně cenné pro státem sponzorované kyberšpióny. Některé společnosti, které prodat hackerské nástroje vládám dokonce zaplatí až 2,5 milionu dolarů za vlastnictví podrobností o nejzávažnějších bezpečnostních chybách iOS.

Pouzdro na telefon google pixel 3xl

V reakci na to Apple loni oznámil, že nakonec začne nabízet nejlepším bezpečnostním výzkumníkům na světě přístup k hackerům přátelským iPhonům. Tato zařízení jsou dodávána s přístupem přes shell, který umožňuje vlastníkovi spustit libovolný počítačový kód, který chce. Kód lze také spustit s různým stupněm oprávnění zabezpečení.



hp zbook 14-g1
Webové stránky pro program bezpečnostních výzkumných zařízení od společnosti Apple.(Úvěr: Apple)

Apple plánuje půjčování telefonů na 12měsíční obnovitelné bázi. Nejsou určeny pro osobní použití nebo každodenní nošení a musí vždy zůstat v prostorách účastníků programu, uvedla společnost. Přístup a používání SRD (Zařízení pro výzkum zabezpečení) musí být omezeno na osoby autorizované společností Apple.

Pokud vlastník nalezne zranitelnost v iOS, musí to neprodleně nahlásit společnosti Apple. Společnost říká, že poté zranitelnost opraví, jakmile to bude praktické, aniž by uváděla konkrétní časovou osu. Ale dokud nebude záplata vydána, bezpečnostní výzkumník musí o chybě mlčet.

Ne všichni jsou s tímto požadavkem spokojeni. Tým z Google Project Zero, který se zaměřuje na hledání dříve neznámých zranitelností, poukazuje na to, že obvykle požadují opravu zranitelnosti od dodavatele. do 90 dnů , jinak zveřejní podrobnosti o hrozbě, aby varovali veřejnost.

Vypadá to, že nebudeme moci používat „Zařízení pro výzkum zabezpečení“ společnosti Apple kvůli omezením zveřejnění zranitelnosti, která se zdají být speciálně navržena tak, aby vyloučila Project Zero a další výzkumníky, kteří používají 90denní politiku, tweetoval Ben Hawkes, který vede skupinu sponzorovanou Googlem.

Project Zero bude pokračovat ve zkoumání chyb zabezpečení softwarové platformy společnosti Apple. I bez iPhonů, které jsou vhodné pro hackery, skupina odhalila četné nedostatky v softwaru společnosti, řekl Hawkes. Myslím, že jsme Apple poprvé požádali o testovací zařízení pro bezpečnostní výzkum v roce 2014 nebo začátkem roku 2015. A od té doby jsme Applu nahlásili přes 350 bezpečnostních zranitelností, dodal.

Podle na TechCrunch budou bezpečnostní výzkumníci, kteří na zařízeních najdou chyby, moci získat odměny prostřednictvím programu odměňování chyb společnosti Apple. V závislosti na závažnosti zranitelnosti může výzkumník vydělat až 1 milion dolarů.

Tablet alcatel onetouch pixi 7

Program bezpečnostních výzkumných zařízení společnosti Apple bude prozatím dostupný pouze výzkumníkům ve 23 zemích včetně USA. Čína a Rusko na seznamu chybí.

Doporučená