| 17 августа 2021 г. — 5:44 PT
Компания по безопасности Corellium предлагает платить исследователям безопасности за проверку заявлений Apple о CSAM после того, как были высказаны опасения как по поводу конфиденциальности, так и по поводу потенциала злоупотребления системой репрессивными правительствами.
Компания заявляет, что существует множество областей, в которых могут существовать уязвимости, и они хотели бы, чтобы независимые исследователи искали их…
Corellium предлагает гранты в размере 5 000 долларов США, а также бесплатное использование своей платформы виртуализации iOS в течение года.
На прошлой неделе Apple объявила, что начнет сканировать фотографии, загружаемые в службу iCloud Apple, на предмет материалов, связанных с сексуальным насилием над детьми (CSAM). Отложив в сторону дебаты о гражданских и философских последствиях этой новой функции, Apple сделала несколько заявлений о конфиденциальности и безопасности этой новой системы.
Эти заявления охватывают такие разнообразные темы, как технология хеширования изображений, современный криптографический дизайн, анализ кода, а также внутренние механизмы и дизайн безопасности самого iOS. Ошибки в любом компоненте этого общего дизайна могут быть использованы для подрыва системы в целом и, как следствие, нарушения ожиданий пользователей iPhone в отношении конфиденциальности и безопасности.
С момента первоначального объявления Apple призывала сообщество независимых исследователей безопасности проверять и верифицировать ее заявления о безопасности. Как заявил старший вице-президент Apple по разработке программного обеспечения Крейг Федериги в интервью The Wall Street Journal: «Исследователи безопасности постоянно имеют возможность анализировать то, что происходит в программном обеспечении Apple [телефона], поэтому, если какие-либо изменения будут внесены, которые расширят сферу применения этого каким-либо образом — так, как мы обязались не делать — существует возможность проверки, они могут заметить, что это происходит».
Мы приветствуем приверженность Apple к самоконтролю со стороны сторонних исследователей. Мы считаем, что наша платформа обладает уникальными возможностями для поддержки исследователей в этой работе. Наши виртуальные устройства с «джейлбрейком» не используют никаких эксплойтов, а полагаются на нашу уникальную технологию гипервизора. Это позволяет нам предоставлять виртуальные устройства с root-доступом для динамического анализа безопасности почти сразу после выпуска новой версии iOS. Кроме того, наша платформа предоставляет инструменты и возможности, которые недоступны на физических устройствах.
Если вы хотите проверить заявления Apple о CSAM в рамках этой программы, компания говорит, что вам не обязательно иметь опыт в исследовании безопасности, хотя это и повысит вероятность успеха вашей заявки.
Заявители должны представить предложение, которое включает информацию о вероятном влиянии исследования, его новизне и осуществимости, вероятности успеха и технических достоинствах.
Взамен успешные исследователи должны согласиться с условиями, которые включают в себя сообщение о своих открытиях Apple и предоставление Corellium регулярных обновлений о своем прогрессе.
Полные подробности процесса подачи заявки можно найти в посте в блоге.
Apple признала, что процесс анонса не был идеальным, что привело к недоразумениям, а также к обоснованным опасениям.