Apple впервые объявила о выпуске iPhone с возможностью взлома в августе прошлого года. Новый iPhone от Apple награждает хакеров за ошибкиАнатолий Сизов / iStock

На прошлогодней хакерской конференции Black Hat в Лас-Вегасе Apple объявила, что выпустит взломанные iPhone, чтобы помочь исследователям в области безопасности исследовать смартфоны на наличие уязвимостей.

Почти ровно через год iPhone был выпущен для  взлома программой Apple Security Research Device (SRD). Некоторые хвалят Apple за приверженность безопасности своих устройств, другие не очень довольны.

Что такое «Устройство для исследования безопасности» от Apple?

Apple давно известна тем, что обеспечивает безопасность своих устройств и отказывается даже открывать их для ФБР . Хотя это хорошо для потребителей, поскольку означает, что у них есть очень безопасный телефон, исследователям в области безопасности сложно проанализировать знаменитый смартфон на наличие уязвимостей.

Теперь немногие счастливчики смогут получить более глубокое представление об iOS на уровне кода. С запуском программы Apple SRD 22 июля, сообщает Forbes , Apple запустит то, что они назвали «устройствами исследования безопасности» (SRD). Они будут поставляться с «уникальными политиками исполнения и сдерживания кода», — заявляет компания.

Чтобы получить доступ к одному из этих устройств, кандидат должен быть зарегистрирован в программе Apple Developer Program и иметь возможность подтвердить свой послужной список в обнаружении проблем безопасности.

Каждому, кто будет принят, по сути, будет предоставлен SRD на 12 месяцев, который будет использоваться  только в строго контролируемых условиях безопасности.

Спорные ограничения

Позволяя исследователям копаться в коде iOS в поисках уязвимостей, как никогда раньше, программа Apple SRD, к сожалению, вызвала разногласия из-за ограничений, которые компания наложила на всех исследователей, которые обнаруживают указанные уязвимости. 

«Если вы используете SRD для поиска, тестирования, проверки, проверки или подтверждения уязвимости, вы должны незамедлительно сообщить об этом Apple и, если ошибка находится в стороннем коде, соответствующей третьей стороне», — говорится в требованиях.

Но проблема не в этом. Проблема, по мнению нескольких комментаторов, заключается в следующем:

После сообщения об уязвимости «Apple сообщит вам дату публикации (обычно дату, когда Apple выпускает обновление для решения проблемы)» и будет «добросовестно работать» над устранением отмеченной уязвимости как можно скорее. Ограничения не позволяют исследователям общаться с прессой до даты публикации.

Это ограничение, похоже, было разработано таким образом, чтобы исключить некоторых известных исследователей безопасности, которые используют 90-дневную политику для своих объявлений. Бен Хоукс,  технический руководитель Google Project Zero , написал в Twitter следующее:

В то время как Apple предоставляет беспрецедентный доступ к своей системе iOS со своими взломанными iPhone, некоторые утверждают, что их программа SRD не принесет пользы из-за слишком жестких ограничений на исследователей безопасности, которые являются частью программы.

от Telebox

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *