Программа iPhone Security Research Device позволяет исследователям напрямую сотрудничать с Apple при обнаружении уязвимостей, получая при этом вознаграждение. Регистрация участников открыта до 31 октября. Компания Apple запустила программу iPhone Security Research Device Program в 2019 году. Как сообщается, программа успешно работает: с момента ее запуска было обнаружено 130 критически важных для безопасности уязвимостей.
По словам сайта, у исследователей, желающих принять участие в программе iPhone Security Research Device Program 2024 года, есть время до 31 октября. За обнаруженные уязвимости в устройствах Security Research Devices, которые, по сути, являются взломанными iPhone, компания уже выплатила более $500000 (≈ 48 619 700 ₽).
Устройство Security Research Device предназначено для использования в контролируемой среде только для исследования безопасности. Предоставленные устройства остаются собственностью Apple и предоставляются во временное пользование на 12 месяцев.
Описание устройства Security Research Device от Apple:
Security Research Device (SRD) – это специально сконструированный iPhone, позволяющий проводить исследования безопасности iOS без необходимости обхода ее защитных функций. Доступ к оболочке доступен, можно запускать любые инструменты, выбирать права и даже настраивать ядро. Использование SRD позволяет с уверенностью сообщить обо всех своих результатах компании Apple без риска потерять доступ к внутренним уровням безопасности iOS.
Исследователи могут использовать Security Research Device для:
- установки и загрузки пользовательских кэшей ядра.
- выполнения произвольного кода с любыми правами, включая права платформы и права root вне «песочницы».
- Устанавливать переменные NVRAM.
- Устанавливать и загружать пользовательские прошивки для Secure Page Table Monitor (SPTM) и Trusted Execution Monitor (TXM), новые в iOS 17.
Набор исследователей и преподавателей университетского уровня может подать заявку на получение Security Research Devices. Все заявки будут рассмотрены до конца 2023 г., а выбранные участники будут уведомлены в начале 2024 г.
Заявка подается на сайте Apple – в разделе Безопасность
Комментарии (0)