Apple теперь предоставляет взломанные iPhone в рамках программы Apple Security Research Device

Через год после объявления программы Security Research Device Program, Apple начала принимать приложения для специальных iPhone, которые исследователи безопасности могут использовать для выявления ошибок и эксплойтов.

Apple отмечает, что устройства iPhone, предоставленные для программы Apple Security Research Device Program, «предназначены для использования в контролируемых условиях только для исследования безопасности». Компания отмечает, что доступ Shell на поставляемых iPhone доступен, и исследователи смогут запускать любые инструменты и выбирать права доступа. В противном случае SRD ведет себя как можно ближе к стандартному iPhone, чтобы стать «репрезентативной целью исследования».

Устройства предоставляются на 12-м уровне. ежемесячно с возможностью продления и остаются собственностью Apple. Они не предназначены для личного использования или повседневного ношения и должны постоянно находиться в помещениях участников программы.

Кроме того, доступ и использование специальных iPhone должны быть ограничены лицами, авторизованными Apple.

Устройства доступны только подписчикам программы Apple Developer Program, доказавшим успешный опыт поиска проблем безопасности на платформах Apple или «других современных операционных системах и платформах». Apple специально запрещает страны, на которые распространяется эмбарго США, или тех, кто работает в Apple или работал в прошлом году.

Заявки для устройств принимаются на веб-странице программы.

Apple впервые анонсировала программу на конференции Black Hat 2019 года. В то время Apple заявила, что iPhone, в рамках программы, будут настроены с разрешениями для обеспечения большего доступа к внутренней работе iOS, шаг, который может помочь увеличить количество обнаруженных проблем до того, как они появятся в бета-версии или общедоступной версии. — выпуск программного обеспечения.

Apple впервые представила схему вознаграждения за ошибки в 2016 году, предлагает заплатить исследователям за обнаружение уязвимостей и недостатков в iOS, которые могут нарушить безопасность iPhone и iPad. На протяжении всей своей жизни были жалобы на то, что Apple не смогла создать аналогичную программу, работающую в других ее операционных системах.

На той же конференции Black Hat, на которой было объявлено о программе Apple Security Research Device Program, Apple также увеличила вознаграждение за ошибки.

Уязвимость, обеспечивающая доступ с нулевым щелчком к важным пользовательским данным по сети без взаимодействия с пользователем, предлагает максимальную выплату в размере 500 000 долларов США. Вверху списка находится атака выполнения кода ядра с полной цепочкой, которая может продолжаться и выполняться без вмешательства пользователя вообще, за которую можно выплатить до 1 миллиона долларов..

Кроме того, если исследователь обнаружит уязвимость в предварительной бета-версии, о которой Apple сообщит перед ее публичным выпуском, он получит бонус. до 50% сверху.

При максимально возможном доходе в 1,5 миллиона долларов с бонусом перед выпуском, награда за устранение ошибок является значительным шагом вперед в выплатах Apple. Ранее максимально возможный платеж составлял 200 000 долларов США.

Оцените статью
futurei.ru
Добавить комментарий