Спустя год после анонса Программы устройств исследования безопасности Apple начала принимать приложения для специальных айфонов, которые исследователи безопасности могли бы использовать для выявления ошибок и эксплойтов.
Apple отмечает, что устройства iPhone, предусмотренные для программы устройств исследования безопасности Apple, «предназначены для использования в контролируемых условиях только для исследований безопасности». Компания отмечает, что доступ к Shell на поставляемых iPhone возможен, и исследователи смогут запускать любые инструменты и выбирать права. В противном случае SRD ведет себя как можно ближе к стандартному iPhone, чтобы стать «репрезентативной целью исследования».
Устройства предоставляются на 12-месячной основе с возможностью возобновления и остаются собственностью Apple. Они не предназначены для личного использования или ежедневного ношения и должны всегда оставаться на территории участников программы.
Кроме того, доступ к специальным iPhone и их использование должны быть разрешены только лицам, уполномоченным Apple.
Устройства доступны только подписчикам программы Apple Developer Program с успешным опытом в обнаружении проблем безопасности на платформах Apple или «других современных операционных системах и платформах». Apple специально запрещает странам, на которые наложено эмбарго США, или тем, кто работает в Apple или был в прошлом году.
Apple первоначально объявила о программе на конференции Black Hat 2019 года. В то же время Apple заявила, что iPhone, продаваемый в рамках программы, будет настроен с разрешениями для предоставления большего доступа к внутренним функциям iOS, что может помочь увеличить число проблем, обнаруженных до того, как они появятся в бета-версии или в общедоступной версии. программное обеспечение
Apple впервые представила схему вознаграждения за ошибки в 2016 году, предлагая исследователям платить за обнаружение уязвимостей и уязвимостей в iOS, которые могут нанести ущерб безопасности iPhone и iPad. На протяжении всей своей жизни были жалобы на то, что Apple не смогла создать аналогичную программу, которая работает в других операционных системах.
На той же конференции в Black Hat, о которой было объявлено о программе Apple Security Research Device, Apple также подняла награды, выплаченные за ошибки.
Уязвимость, обеспечивающая доступ к ценным данным пользователя по сети без вмешательства пользователя, обеспечивает максимальную выплату в размере 500 000 долларов США. В верхней части списка находится атака на выполнение кода ядра с полной цепью, которая может продолжаться, вообще без участия пользователя, и может приносить до 1 миллиона долларов.
Кроме того, если исследователь обнаружит уязвимость в предварительной бета-версии, о которой Apple сообщит до ее публичного выпуска, он получит бонус до 50%.
При максимально возможном доходе в 1,5 миллиона долларов с бонусом до релиза, награда за ошибку является значительным шагом в выплатах Apple. Ранее максимально возможный платеж составлял 200 000 долларов.
