Apple заявила о старте новой программы по поиску уязвимостей в iOS для ИБ-исследователей — Apple Security Research Device Program. Компания будет выдавать участникам этой программы определенным образом настроенные iPhone под названием «устройства исследования безопасности» (Security Research Device — SRD). Специальные смартфоны будут выдаваться исследователям на 12 месяцев с условием обязательного возврата и возможностью продления периода их использования в случае договоренности с Apple.
Чтобы получить устройство SRD исследователь должен быть зарегистрирован в программе разработчиков Apple, быть совершеннолетним, не работать в Apple, иметь опыт работы в поиске уязвимостей в iOS, а также обязательно проживать в одной из следующих стран (России там нет): Австралия, Австрия, Бельгия, Канада, Чехия, Дания, Финляндия, Франция, Германия, Венгрия, Ирландия, Италия, Япония, Люксембург, Нидерланды, Норвегия, Польша, Португалия, Испания, Швеция, Швейцария, Великобритания, США. Передавать устройство SRD в другие руки, а также использовать его в качестве личного смартфона запрещено. В случае его потери необходимо немедленно известить компанию. Причем количество устройств SRD ограничено, поэтому в Apple ожидают превышение количества заявок от исследователей и поясняют, что они достанутся только лишь части участников.
Фактически, исследователи получат от Apple кастомную версию iPhone с разблокированным SSH-доступом и специальной консолью суперпользователя. На нем можно будет запускать различные команды управления, а также будет открыт доступ к аппаратной части. Также Apple предоставит удаленным новым тестировщикам отладочный инструментарий и доступ к внутренней документации и специализированному форуму для связи с инженерами компании.
Программа Apple Security Research Device Program является продолжением политики компании по усилению систем безопасности пользовательских устройств, включая оперативное устранение обнаруженных уязвимостей и привлечение к этому процессу проверенных сторонних разработчиков. В Apple с 2016 года действует программа вознаграждения (bug bounty) для разработчиков за найденные уязвимости в сервисах и устройствах компании.
Цель программы — дальнейшее повышение безопасности iOS
В июле Apple объявила о запуске новой программы Apple Security Research Device Program, которая предоставит специалистам по безопасности специальные версии iPhone, оснащенные уникальными политиками выполнения кода для поддержки исследований в области безопасности.
Вчера Apple подтвердила, что первые такие смартфоны уже отправлены адресатам. По условиям программы, участвующим исследователям в области безопасности будут предоставлены iPhone, взятые в аренду сроком на один год, хотя можно будет продлить срок аренды.
Цель программы — дальнейшее повышение безопасности iOS. Apple считает, что вклад исследователей в области безопасности поможет компании в достижении её цели по повышению безопасности операционной системы. Apple говорит, что высоко оценивает работу этих специалистов.
Эти iPhone не так сильно защищены от выполнения сторонних приложений, чем потребительские устройства, что облегчит обнаружение серьёзных уязвимостей в системе безопасности. При этом устройства максимально приближены к серийным телефонам с последней версией iOS. Специалистам не нужно будет делать джейлбрейк телефонов, чтобы провести исследование, что позволит им изучить функции безопасности платформы. Они смогут использовать любые программные инструменты, чтобы протестировать ОС.
Участники программы имеют доступ к обширной документации и специальному форуму с инженерами Apple для совместной работы. Программа исследования устройств безопасности работает вместе с программой вознаграждения за обнаружение уязвимостей, поэтому исследователи, обнаруживающие уязвимости, могут получать выплаты до 1,5 миллиона долларов.
