| 30 августа 2023 г. — 11:27 PT
Менее года назад Apple запустила новый центр исследований безопасности вместе с обновленной программой поиска уязвимостей, улучшениями программы устройств для исследований безопасности и многим другим. Начиная с сегодняшнего дня и в течение ограниченного времени Apple открыла прием заявок на программу устройств для исследований безопасности на следующий год. Вот как подать заявку.
Сегодня Apple объявила об открытии приема заявок на программу 2024 года на своем сайте исследований безопасности. Основная идея программы заключается в предоставлении «iPhone, эксклюзивно предназначенного для исследований безопасности», а также помощи «для начала, углубления или повышения эффективности вашей исследовательской работы с iOS».
С сегодняшнего дня по 31 октября мы приглашаем исследователей безопасности подать заявку на программу устройств для исследований безопасности iPhone 2024 года (SRDP), чтобы ускорить свои исследования iPhone, работать с нашими командами безопасности для защиты пользователей и претендовать на вознаграждения Apple Security Bounty.
Apple подчеркивает, что с момента запуска SRDP в 2019 году исследователями было обнаружено 130 «критически важных для безопасности уязвимостей», что внесло важный вклад в систему.
А вознаграждения за эти ошибки увеличились. Apple отмечает, что более 100 находок получили выплаты по программе поиска уязвимостей, «с несколькими вознаграждениями, достигающими 500 000 долларов, и медианным вознаграждением почти в 18 000 долларов».
Вот как Apple описывает SRDP:
iPhone — самое безопасное потребительское мобильное устройство на рынке, а глубина и широта сложных защитных механизмов, которые защищают пользователей, могут сделать начало исследований безопасности iPhone очень сложным. Центральным элементом SRDP является устройство для исследований безопасности — специально созданный аппаратный вариант iPhone 14 Pro, предназначенный исключительно для исследований безопасности, с инструментами и опциями, позволяющими исследователям настраивать или отключать многие передовые функции безопасности iOS, которые нельзя отключить на обычном оборудовании iPhone в руках пользователей.
Среди прочих функций исследователи могут использовать устройство для исследований безопасности (SRD) для:
- Установки и загрузки пользовательских кэшей ядра.
- Запуска произвольного кода с любыми правами, в том числе на уровне платформы и root вне песочницы.
- Установки переменных NVRAM.
- Установки и загрузки пользовательской прошивки для Secure Page Table Monitor (SPTM) и Trusted Execution Monitor (TXM), новых в iOS 17.
Если вы заинтересованы в подаче заявки, помните, что Apple ежегодно отбирает лишь ограниченное количество исследователей. Прием заявок открыт сейчас до 31 октября, и Apple сообщает, что «уведомит отобранных участников в начале 2024 года».
Дополнительные сведения, включая требования к участникам и форму для подачи заявки на веб-сайте Apple.