Apple запускает программу исследовательских устройств для обеспечения безопасности, чтобы помочь исследователям находить уязвимости в своих устройствах

Benjamin Mayo | Среда, 22 июля, 2020, 08:47.

Avatar for Benjamin Mayo
 | 22 июля 2020 г. — 10:17 PT

Теперь у исследователей безопасности появился способ получить (легальный) доступ к разблокированным тестовым устройствам iPhone, которые не имеют обычных защит, связанных с произвольным выполнением кода и другими мерами безопасности. Доступ к «рутованному» оборудованию позволяет исследователям безопасности легче проверять основные части операционной системы, что помогает отслеживать эксплойты в ядре и других низкоуровневых областях операционной системы iOS. Apple объявила о своих планах сделать это почти год назад.

Исследователи могут подать заявку на получение этого специального оборудования здесь. Как и следовало ожидать, Apple разрешит подавать заявки только тем, кто имеет предыдущий опыт поиска уязвимостей безопасности на ее платформах.

Естественно, тестовые устройства остаются собственностью Apple и сдаются в аренду на двенадцатимесячной основе. Apple предполагает, что количество таких устройств ограничено, поэтому не все, кто подаст заявку в этом году, получат их. Однако заявки автоматически переносятся на возможность соответствия требованиям в 2021 году.

Устройства для исследований безопасности специально запрограммированы для обеспечения открытого доступа к командной строке, а также возможности развертывать инструменты без ограничений на произвольное выполнение кода, обычных для iOS.

Это дает сторонним исследователям доступ к оборудованию того же типа, которое изучают внутренние команды безопасности Apple. Возможность пытаться атаковать устройства с более низким уровнем безопасности может помочь найти эксплойты и уязвимости, которые в противном случае были бы скрыты и трудны для отслеживания.

Apple надеется, что открытие программы в конечном итоге приведет к исправлению большего числа уязвимостей безопасности в своих операционных системах, что принесет пользу всем ее клиентам. Разработчики, имеющие оборудование SRD, обязаны напрямую сообщать об обнаруженных уязвимостях Apple. Представленные материалы по вопросам безопасности будут соответствовать обычным вознаграждениям за обнаружение ошибок, где это применимо.