Apple теперь предоставляет взломанные iPhone в программе Apple Security Research Device Device

article thumbnail

Спустя год после анонса Программы устройств исследования безопасности Apple начала принимать приложения для специальных айфонов, которые исследователи безопасности могли бы использовать для выявления ошибок и эксплойтов.

Apple отмечает, что устройства iPhone, предусмотренные для программы устройств исследования безопасности Apple, «предназначены для использования в контролируемых условиях только для исследований безопасности». Компания отмечает, что доступ к Shell на поставляемых iPhone возможен, и исследователи смогут запускать любые инструменты и выбирать права. В противном случае SRD ведет себя как можно ближе к стандартному iPhone, чтобы стать «репрезентативной целью исследования».

Устройства предоставляются на 12-месячной основе с возможностью возобновления и остаются собственностью Apple. Они не предназначены для личного использования или ежедневного ношения и должны всегда оставаться на территории участников программы.

Кроме того, доступ к специальным iPhone и их использование должны быть разрешены только лицам, уполномоченным Apple.

Устройства доступны только подписчикам программы Apple Developer Program с успешным опытом в обнаружении проблем безопасности на платформах Apple или «других современных операционных системах и платформах». Apple специально запрещает странам, на которые наложено эмбарго США, или тем, кто работает в Apple или был в прошлом году.

Apple первоначально объявила о программе на конференции Black Hat 2019 года. В то же время Apple заявила, что iPhone, продаваемый в рамках программы, будет настроен с разрешениями для предоставления большего доступа к внутренним функциям iOS, что может помочь увеличить число проблем, обнаруженных до того, как они появятся в бета-версии или в общедоступной версии. программное обеспечение

Apple впервые представила схему вознаграждения за ошибки в 2016 году, предлагая исследователям платить за обнаружение уязвимостей и уязвимостей в iOS, которые могут нанести ущерб безопасности iPhone и iPad. На протяжении всей своей жизни были жалобы на то, что Apple не смогла создать аналогичную программу, которая работает в других операционных системах.

На той же конференции в Black Hat, о которой было объявлено о программе Apple Security Research Device, Apple также подняла награды, выплаченные за ошибки.

Уязвимость, обеспечивающая доступ к ценным данным пользователя по сети без вмешательства пользователя, обеспечивает максимальную выплату в размере 500 000 долларов США. В верхней части списка находится атака на выполнение кода ядра с полной цепью, которая может продолжаться, вообще без участия пользователя, и может приносить до 1 миллиона долларов.

Кроме того, если исследователь обнаружит уязвимость в предварительной бета-версии, о которой Apple сообщит до ее публичного выпуска, он получит бонус до 50%.

При максимально возможном доходе в 1,5 миллиона долларов с бонусом до релиза, награда за ошибку является значительным шагом в выплатах Apple. Ранее максимально возможный платеж составлял 200 000 долларов.

Соцсети