Hírek

Az Apple új iPhone díjazza a hibákat feltörő hackereket

Az Apple új iPhone díjazza a hibákat feltörő hackereket

A tavalyi Las Vegas-i Black Hat hacker konferencián az Apple bejelentette, hogy feltörhető iPhone-okat bocsát ki, hogy segítse a biztonsági kutatókat az okostelefonok sebezhetőségének kivizsgálásában.

Szinte egy évvel később, a feltörhető iPhone-t az Apple Security Research Device (SRD) programja adta ki. Míg egyesek dicsérték az Apple-t az eszközeik biztonsága iránti elkötelezettségéért, mások nem annyira örülnek.

KAPCSOLÓDÓ: Az APPLE AWARDS HACKER 100 000 USD-t A FELFEDEZÉS FELFEDEZÉSÉRE ALMA SÉRHETŐSÉGÉVEL

Mi az Apple „biztonságkutató eszköze”?

Az Apple régóta ismert arról, hogy biztonságban tartja eszközeit, és nem hajlandó megnyitni őket még az FBI előtt sem. Bár ez nagyszerű a fogyasztók számára, mert ez azt jelenti, hogy nagyon biztonságos telefonjuk van, a biztonsági kutatók számára megnehezítette az ikonikus okostelefon sebezhetőségének elemzését.

Néhány szerencsés esetben kódszinten alaposan áttekinthetik az iOS-t. Az Apple SRD programjának július 22-i elindításával a Forbes jelentése szerint az Apple elindítja az általuk "biztonsági kutatóeszközöknek" (SRD) nevezett nevet. Ezek "egyedi kódfuttatással és elszigetelési irányelvekkel fognak járni" - mondja a vállalat.

Ezen eszközök egyikéhez való hozzáférés érdekében a jelentkezőt be kell iratkoznia az Apple Developer Programba, és igazolnia kell a biztonsági problémák felfedezésének eredményeit.

Akit elfogadnak, lényegében 12 hónapra kölcsönöznek SRD-t, amely csak szigorúan ellenőrzött biztonsági körülmények között használható fel.

Vitatott korlátozások

Bár az Apple SRD programja lehetővé tette a kutatók számára, hogy az iOS-kódba belemerüljenek a sérülékenységek keresése érdekében, mint még soha, sajnos vitát indított a vállalat által az említett sebezhetőségeket találó kutatók számára bevezetett korlátozások miatt.

"Ha az SRD-t sebezhetőség megkeresésére, tesztelésére, érvényesítésére, ellenőrzésére vagy megerősítésére használja, akkor haladéktalanul jelentenie kell az Apple-nek, és ha a hiba harmadik féltől származó kódban van, akkor a megfelelő harmadik félnek" - állítja a követelmény.

Pedig nem erről van szó. Több hozzászóló szerint a probléma a következő:

A biztonsági rés bejelentése után "az Apple megadja Önnek a közzététel dátumát (általában azt az időpontot, amikor az Apple kiadja a frissítést a probléma megoldása érdekében)", és "jóhiszeműen dolgozik" a megjelölt biztonsági rések mielőbbi feloldása érdekében. A korlátozások megakadályozzák a kutatókat abban, hogy a publikáció előtt a sajtóval beszéljenek.

Úgy tűnik, hogy ezt a korlátozást úgy alakították ki, hogy kizárjon néhány olyan ismert biztonsági kutatót, akik 90 napos politikát alkalmaznak bejelentéseikhez. Ben Hawkes, a Google Project Zero technikai vezetője a Twitteren mondta a következőket:

Úgy tűnik, hogy a biztonsági rés nyilvánosságra hozatalának korlátozásai miatt nem fogjuk tudni használni az Apple „Security Research Device” készülékét, amelyek úgy tűnik, hogy kifejezetten a Zero Project és más 90 napos házirendet alkalmazó kutatók kizárására szolgálnak.

- Ben Hawkes (@benhawkes) 2020. július 22

Míg az Apple példátlan hozzáférést engedélyez iOS rendszeréhez feltörhető iPhone-jaival, egyesek szerint SRD programjuk nem lesz előnyös a program részét képező biztonsági kutatókra vonatkozó túl szigorú korlátozások miatt.


Nézd meg a videót: Apple TV, 2021 iPad Pro, iOS Release, Apple Glasses and more (December 2021).