| 1 ноя 2024 — 10:08 PT
9to5Mac Security Bite эксклюзивно представляет вам Mosyle, единственную унифицированную платформу Apple. Мы делаем устройства Apple готовыми к работе и безопасными для предприятий. Наш уникальный интегрированный подход к управлению и безопасности сочетает в себе передовые решения безопасности, специфичные для Apple, для полностью автоматизированного укрепления и соответствия требованиям, EDR следующего поколения, основанный на ИИ нулевой доверия и эксклюзивное управление привилегиями с самым мощным и современным MDM для Apple на рынке. Результатом является полностью автоматизированная унифицированная платформа Apple, которой в настоящее время доверяют более 45 000 организаций, чтобы без усилий и по доступной цене сделать миллионы устройств Apple готовыми к работе. Запросите свой РАСШИРЕННЫЙ ПРОБНЫЙ ПЕРИОД сегодня и узнайте, почему Mosyle — это все, что вам нужно для работы с Apple.
Private Cloud Compute (PCC), вычислительная мощность, лежащая в основе Apple Intelligence, была представлена несколько месяцев назад на WWDC24 как новая облачная инфраструктура Apple с упором на конфиденциальность. В то же время компания заявила, что будет периодически публиковать подмножества исходного кода PCC для независимой проверки. После некоторого ожидания, как сообщил 9to5Mac на прошлой неделе, многие из ее ресурсов теперь доступны всем. Вот что включено.
В рамках своей работы над репозиторием GitHub Apple опубликовала для общественности многие основные компоненты вычислительной инфраструктуры PCC, модели безопасности, механизмы криптографической проверки, политики и многое другое. Этот шаг направлен на то, чтобы позволить исследователям безопасности, защитникам конфиденциальности и экспертам проверять, аудировать и подтверждать заявления Apple о безопасности и конфиденциальности.
Общедоступные ресурсы Private Cloud Compute:
- AppleComputeEnsembler: Похоже, относится к общей вычислительной инфраструктуре и управлению ресурсами
- CloudAttestation: Механизмы и службы, отвечающие за подтверждение и проверку целостности серверов и программного стека
- CloudBoard: Обеспечивает безопасные и конфиденциальные операции буфера обмена между устройствами; также, по-видимому, отвечает за взаимодействие с OpenAI
- CloudMetrics: Содержит функции для мониторинга и анализа производительности и безопасности приложений, использующих службы PCC
- CloudRemoteDiagnostics: Отвечает за удаленную диагностику на устройствах Apple через облако, особенно для безопасной асинхронной связи и обработки данных
- SecurityMonitorLite: Реализует фреймворк Endpoint Security (ES) от Apple для мониторинга системных действий, таких как выполнение и завершение процессов, взаимодействие с I/O Kit, а также события входа/выхода из SSH
- Thimble: Потенциально связан с управлением криптографическими ключами или безопасными анклавами
- darwinOSBits: Ссылается на механизмы безопасности и обеспечивает соблюдение политик конфиденциальности
- srd_tools: Содержит инструменты и ресурсы для программы Security Research Device (SRD)
- Прочая документация и юридическая информация
Публикуя эти компоненты, Apple позволяет сообществу безопасности делать то, что они умеют лучше всего. Приятно видеть, что компания выбирает совместный подход к повышению безопасности Private Cloud Compute (PCC), а не полагается исключительно на свои внутренние команды. Это не только укрепляет PCC, но и, будем надеяться, весь рынок, поскольку это побуждает другие фирмы принять такой уровень прозрачности и безопасности.
Также не случайно, что одновременно с публикацией ресурсов Apple расширила свою программу вознаграждений за безопасность, включив в нее вознаграждения, связанные с PCC. За уязвимость удаленного выполнения произвольного кода теперь можно получить до 1 000 000 долларов США, что является самой высокой наградой Apple в категории «Сервисы» программы.
Стимулирование исследователей безопасности к выявлению и сообщению о сложных уязвимостях, связанных с PCC, — это отличный шаг к обеспечению надежной конфиденциальности.
Как заявил Крейг Федериги, старший вице-президент Apple по разработке программного обеспечения, в интервью WIRED во время запуска iPhone 16: «…нам нужно было убедиться, что эта [PCC] обработка происходит в герметично закрытом «пузыре конфиденциальности» вместе с вашим телефоном».
Apple утверждает, что ей удается поддерживать этот «пузырь» между PCC и такими устройствами, как iPhone, Mac и iPad, запуская тщательно контролируемый программный стек, который проверяет собственную целостность, гарантируя отсутствие несанкционированных изменений. Любая обработка происходит в изолированной среде со строгим контролем конфиденциальности. Каждое вычисление также рассматривается как временное событие — после завершения задачи все данные немедленно удаляются, не оставляя следов взаимодействия пользователя.
На данный момент никаких сообщений об уязвимостях, связанных с Private Cloud Compute, не поступало.
Apple указала, что предоставление ресурсов PCC всем — это только первый шаг. Компания планирует продолжать свою приверженность прозрачности, устанавливая новый отраслевой стандарт для ответственной разработки ИИ — довольно уникальный и аномальный подход по сравнению с другими игроками в этой области.
Если вы можете предоставить дополнительную информацию о новых ресурсах, опубликованных Apple, оставьте комментарий ниже или напишите мне по адресу arin@9to5mac.com.