Uutiset

Applen uudet iPhone-palkinnot hakkereille vikoja varten

Applen uudet iPhone-palkinnot hakkereille vikoja varten


We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

Viime vuonna Las Vegasissa järjestetyssä Black Hat -hakkurikonferenssissa Apple ilmoitti julkaisevansa hakkeroitavia iPhone-puhelimia auttaakseen turvallisuustutkijoita tutkimaan älypuhelinten haavoittuvuuksia.

Lähes täsmälleen vuotta myöhemmin Applen Security Research Device (SRD) -ohjelma on julkaissut hakkeroitavan iPhonen. Jotkut ovat ylistäneet Applea sitoutumisestaan ​​laitteidensa turvallisuuteen, toiset eivät ole aivan niin onnellisia.

LIITTYVÄT: APPLE AWARDS HACKER 100 000 dollaria kirjautumisen havaitsemisesta omenan haavoittuvuuden kanssa

Mikä on Applen turvallisuustutkimuslaite?

Apple on jo pitkään tunnettu pitämästään laitteita turvassa ja kieltäytymättä edes avaamasta niitä FBI: lle. Vaikka se onkin hyvä kuluttajille, koska se tarkoittaa, että heillä on erittäin turvallinen puhelin, se on vaikeuttanut turvallisuustutkijoiden analysoida ikonisen älypuhelimen haavoittuvuuksia.

Nyt muutamalle onnekkaalle he voivat tutustua syvällisesti iOS: ään kooditasolla. Forbesin mukaan Apple julkaisee 22. heinäkuuta Applen SRD-ohjelman, jonka he ovat kutsuneet "turvallisuustutkimuslaitteiksi" (SRD). Näihin tulee "ainutlaatuinen koodin suorittaminen ja suojauskäytännöt", yritys sanoo.

Saadakseen jonkin näistä laitteista hakijan on oltava rekisteröitynyt Apple Developer Program -ohjelmaan ja hänen on voitava todistaa tietoturvaongelmien löytäminen.

Kuka tahansa, joka on hyväksytty, lainaa olennaisesti SRD: tä 12 kuukaudeksi, joka on tarkoitettu käytettäväksi vain tiukasti valvotuissa turva-asetuksissa.

Kiistanalaiset rajoitukset

Vaikka Applen SRD-ohjelma on antanut tutkijoille mahdollisuuden kaivautua iOS-koodiin haavoittuvuuksien löytämiseksi kuin koskaan ennen, se on valitettavasti käynyt kiistoja rajoitusten takia, jotka yritys on asettanut kaikille tutkijoille, jotka löytävät mainitut haavoittuvuudet.

"Jos käytät SRD: tä haavoittuvuuden löytämiseen, testaamiseen, vahvistamiseen, tarkistamiseen tai vahvistamiseen, sinun on ilmoitettava siitä viipymättä Applelle ja, jos virhe on kolmannen osapuolen koodissa, asianomaiselle kolmannelle osapuolelle", vaatimuksissa todetaan.

Se ei kuitenkaan ole asia. Useiden kommentoijien mukaan ongelma on seuraava:

Kun haavoittuvuudesta on ilmoitettu, "Apple antaa sinulle julkaisupäivän (yleensä päivämäärän, jolloin Apple julkaisee päivityksen ongelman ratkaisemiseksi)" ja "työskentelee hyvässä uskossa" ratkaistakseen ilmoitetun haavoittuvuuden mahdollisimman pian. Rajoitukset estävät tutkijoita puhumasta lehdistölle ennen julkaisupäivää.

Tämä rajoitus näyttää olevan räätälöity sulkemaan pois jotkut tunnetut turvallisuustutkijat, jotka käyttävät ilmoituksissaan 90 päivän käytäntöä. Ben Hawkes, Googlen Project Zero -tekninen johtaja, otti Twitteriin sanomalla seuraavaa:

Näyttää siltä, ​​että emme voi käyttää Applen "Security Research Device" -ohjelmaa haavoittuvuuksien julkistamisrajoitusten takia, jotka näyttävät nimenomaisesti suunniteltu sulkemaan pois Project Zero ja muut tutkijat, jotka käyttävät 90 päivän käytäntöä.

- Ben Hawkes (@benhawkes) 22. heinäkuuta 2020

Vaikka Apple sallii ennennäkemättömän pääsyn iOS-järjestelmäänsä hakkeroitavilla iPhone-laitteillaan, jotkut väittävät, että heidän SRD-ohjelmansa ei ole hyödyllinen johtuen liian tiukoista rajoituksista turvallisuustutkijoille, jotka ovat osa ohjelmaa.


Katso video: iPhone 11 Complete Beginners Guide (Joulukuu 2022).