Компания по безопасности Corellium предлагает заплатить исследователям безопасности за проверку заявлений Apple CSAM после того, как были высказаны опасения как по поводу конфиденциальности, так и по поводу возможности неправомерного использования системы репрессивными правительствами.
Компания заявляет, что существует множество областей, в которых могут существовать слабые места, и они хотели бы, чтобы независимые исследователи искали их …
Corellium предлагает гранты в размере 5000 долларов плюс бесплатное использование своей платформы виртуализации iOS в течение года.
Буквально на прошлой неделе Apple объявила, что начнет сканирование фотографий, загруженных в службу Apple iCloud для материалов о сексуальном насилии над детьми (CSAM). Оставив в стороне дебаты о гражданских и философских последствиях этой новой функции, Apple сделала несколько заявлений о конфиденциальности и безопасности в отношении этой новой системы.
Эти утверждения охватывают такие разные темы, как технология хеширования изображений, современный криптографический дизайн, анализ кода, а также внутренняя механика и дизайн безопасности самой iOS. Ошибки в любом компоненте этого общего дизайна могут быть использованы для подрыва системы в целом и, следовательно, нарушают ожидания пользователей iPhone в отношении конфиденциальности и безопасности.
После этого первоначального объявления Apple призвала независимое исследовательское сообщество проверить и подтвердить свои заявления о безопасности. Как заявил старший вице-президент Apple по разработке программного обеспечения Крейг Федериги в интервью Wall Street Journal, «исследователи безопасности постоянно могут самоанализировать, что происходит в системе Apple. [phone] программное обеспечение, поэтому, если были внесены какие-либо изменения, которые должны были каким-то образом расширить рамки этого — способом, который мы обязались не делать — есть возможность проверки, они могут заметить, что это происходит ».
Мы приветствуем стремление Apple нести ответственность перед сторонними исследователями. Мы считаем, что наша платформа уникальна для поддержки исследователей в этих усилиях. Наши «взломанные» виртуальные устройства не используют никаких эксплойтов, а вместо этого полагаются на нашу уникальную технологию гипервизора. Это позволяет нам предоставлять корневые виртуальные устройства для динамического анализа безопасности почти сразу после выпуска новой версии iOS. Кроме того, наша платформа предоставляет инструменты и возможности, недоступные для физических устройств.
Если вы хотите проверить претензии Apple CSAM через схему, компания заявляет, что вам не нужен послужной список в исследованиях безопасности, хотя это повысит вероятность успеха вашего приложения.
Кандидатам необходимо подать заявку, которая включает информацию о вероятном воздействии исследования, его новизне и осуществимости, вероятности его успеха и технических достоинствах.
В свою очередь успешные исследователи должны согласиться с условиями, которые включают сообщение о ваших открытиях в Apple и предоставление Corellium регулярных обновлений о вашем прогрессе.
Полную информацию о процессе подачи заявки можно найти в сообщении в блоге.
Apple признала, что процесс ее объявления не был идеальным, что привело к неправильным представлениям, а также к обоснованным опасениям.
