Auf der letztjährigen Black Hat-Hackerkonferenz in Las Vegas gab Apple bekannt, dass hackbare iPhones veröffentlicht werden sollen, um Sicherheitsforschern dabei zu helfen, die Smartphones auf Schwachstellen zu untersuchen.
Fast genau ein Jahr später wurde das hackbare iPhone von veröffentlicht SRD-Programm Security Research Device von Apple. Während einige Apple für ihr Engagement für die Sicherheit ihrer Geräte gelobt haben, sind andere nicht ganz so glücklich.
VERBINDUNG: APPLE AWARDS HACKER 100.000 USD FÜR DIE ENTDECKUNG DER ANMELDUNG MIT APPLE VULNERABILITY
Was ist Apples "Sicherheitsforschungsgerät"?
Apple ist seit langem dafür bekannt, dass es seine Geräte sicher hält und sich weigert, sie auszugleichen öffnen Sie sie für das FBI . Während dies für Verbraucher großartig ist, weil es bedeutet, dass sie ein sehr sicheres Telefon haben, hat es Sicherheitsforschern erschwert, das legendäre Smartphone auf Schwachstellen zu analysieren.
Für einige wenige können sie nun auf Codeebene einen detaillierten Einblick in iOS erhalten. Mit dem Start von Apples SRD-Programm am 22. Juli Forbes Berichten zufolge wird Apple das starten, was als "Security Research Devices" SRD bezeichnet wird. Diese werden "mit einzigartigen Richtlinien für die Ausführung und Eindämmung von Code" geliefert, so das Unternehmen.
Um Zugriff auf eines dieser Geräte zu erhalten, muss ein Antragsteller im Apple Developer Program registriert sein und eine Erfolgsbilanz bei der Erkennung von Sicherheitsproblemen nachweisen können.
Jeder, der akzeptiert wird, erhält im Wesentlichen eine SRD für 12 Monate, was bedeutet Nur zur Verwendung innerhalb einer streng kontrollierten Sicherheitseinstellung.
Umstrittene Einschränkungen
Während es Forschern ermöglicht wurde, auf der Suche nach Sicherheitslücken wie nie zuvor in iOS-Code einzutauchen, hat das SRD-Programm von Apple leider Kontroversen ausgelöst, da das Unternehmen Forschern, die diese Sicherheitslücken finden, Einschränkungen auferlegt hat.
"Wenn Sie die SRD verwenden, um eine Sicherheitsanfälligkeit zu finden, zu testen, zu validieren, zu verifizieren oder zu bestätigen, müssen Sie sie unverzüglich Apple und, falls der Fehler im Code eines Drittanbieters enthalten ist, dem entsprechenden Drittanbieter melden", die AnforderungenZustand.
Das ist jedoch nicht das Problem. Das Problem ist laut mehreren Kommentatoren das Folgende :
Sobald die Sicherheitsanfälligkeit gemeldet wurde, "gibt Apple Ihnen ein Veröffentlichungsdatum bekannt normalerweise das Datum, an dem Apple das Update veröffentlicht, um das Problem zu beheben" und "arbeitet nach Treu und Glauben", um die markierte Sicherheitsanfälligkeit so schnell wie möglich zu beheben.Die Einschränkungen verhindern, dass Forscher vor dem Veröffentlichungsdatum mit der Presse sprechen.
Diese Einschränkung scheint so angepasst worden zu sein, dass einige bekannte Sicherheitsforscher ausgeschlossen sind, die für ihre Ankündigungen eine 90-Tage-Richtlinie verwenden. Ben Hawkes, Google Project Zero technischer Leiter, ging zu Twitter, um Folgendes zu sagen :
Es sieht so aus, als könnten wir das Apple "Security Research Device" aufgrund der Einschränkungen bei der Offenlegung von Sicherheitslücken nicht verwenden. Diese scheinen speziell darauf ausgelegt zu sein, Project Zero und andere Forscher auszuschließen, die eine 90-Tage-Richtlinie verwenden.
- Ben Hawkes @benhawkes 22. Juli 2020
Während Apple mit seinen hackbaren iPhones einen beispiellosen Zugriff auf sein iOS-System ermöglicht, argumentieren einige, dass das SRD-Programm aufgrund zu strenger Einschränkungen nicht vorteilhaft ist. Sicherheitsforscher die Teil des Programms sind.