| 16 авг 2016 — 13:57 PT
Black Hat, известная своими конференциями по информационной безопасности, только что выпустила видео «За кулисами безопасности iOS» с мероприятия этого года в США. На презентации, которую вел Иван Крстич, рассматриваются некоторые существующие в iOS методы обеспечения безопасности и то, что Apple делает для защиты пользователей. Именно на этой презентации Apple объявила о своей первой программе вознаграждений за обнаружение уязвимостей.
Этот год стал знаковым для Apple в плане безопасности. От судебных разбирательств по поводу методов шифрования iOS в хорошо документированном деле Сан-Бернардино до требования использовать HTTPS-соединения во всех приложениях в App Store — легко увидеть, что безопасность является для них приоритетом. Хотя ошибки и уязвимости по-прежнему существуют, Apple стремится решать их как можно быстрее.
Не так давно в iOS 9.3.3 была обнаружена уязвимость, позволяющая пользователям melakukan jailbreak своих устройств. Хотя многие из тех, кто занимается джейлбрейком, открыто принимают эти эксплойты как возможность запускать iOS так, как они решат, Apple по-прежнему рассматривает их как уязвимости в своем программном обеспечении, которых не должно быть. Вскоре после выпуска Pangu своего инструмента для джейлбрейка Apple выпустила iOS 9.3.4, закрыв уязвимость в IOMobileFrameBuffer.
Эксплойты в программном обеспечении, подобные этому, — это то, что Apple стремится устранять, чтобы лучше обеспечить безопасность своих клиентов. Именно это Apple часто упоминала во время судебных разбирательств по делу Сан-Бернардино. Они считали, что если бы они *представили и раскрыли* способ обойти шифрование на устройстве iOS, это могло бы быть использовано непредсказуемым образом. Это не остановило ФБР от поиска других путей, где, по сообщениям, они заплатили менее 1 миллиона долларов за точный эксплойт, который им был нужен.
Представление Apple своей первой программы вознаграждений за обнаружение уязвимостей, возможно, стало прямым следствием того, что произошло с судебным делом ФБР. Apple гораздо охотнее заплатит тому, кто первым обнаружит уязвимость, чем если она потенциально попадет в то, что они могут считать «неправильными руками».
Согласно презентации «За кулисами безопасности iOS», вознаграждения Apple за уязвимости варьируются от 25 000 до 200 000 долларов — все это, по-видимому, гораздо меньше, чем rumoured «менее 1 миллиона долларов», о которых слышали ранее.
PDF-файл с основной частью презентации можно скачать здесь, а видео встроено ниже:
Изображение: Ключевая презентация ‘За кулисами безопасности iOS‘ от Ивана Крстича