Ранее в этом месяце Иван Крстич, руководитель отдела инженерной безопасности Apple, выступил с докладом на конференции Black Hat — ежегодном мероприятии для мирового сообщества InfoSec. Во время мероприятия Крстич рассказал о безопасности Apple и представил новую программу компании по вознаграждению за обнаружение ошибок.

Презентация Крстича теперь полностью доступна на YouTube. Она была опубликована сегодня утром на YouTube-канале Black Hat под названием «За кулисами безопасности iOS».

В своем докладе Крстич подробно рассматривает три основных механизма безопасности iOS — HomeKit, Auto Unlock и iCloud Keychain — «с беспрецедентной технической детализацией», а также другие меры безопасности iOS.

HomeKit, Auto Unlock и iCloud Keychain — это три технологии Apple, которые обрабатывают исключительно конфиденциальные пользовательские данные — управление устройствами (включая замки) в доме пользователя, возможность разблокировки Mac пользователя с помощью Apple Watch и пароли пользователя, а также данные кредитных карт соответственно. Мы обсудим криптографический дизайн и реализацию нашей новой безопасной синхронизирующей структуры, которая перемещает конфиденциальные данные между устройствами, не раскрывая их Apple, предоставляя пользователю возможность восстановить данные в случае потери устройства.

Data Protection — это криптографическая система, защищающая пользовательские данные на всех устройствах iOS. Мы обсудим Secure Enclave Processor, присутствующий в iPhone 5S и более поздних моделях, и объясним, как он позволил применить новый подход к извлечению ключей Data Protection и ограничению скорости перебора в рамках небольшого TCB, не предоставляя обычным процессорам приложений никаких промежуточных или извлеченных ключей.

Традиционные уязвимости в браузерах становятся все труднее использовать благодаря все более изощренным методам смягчения последствий. Мы обсудим уникальный механизм укрепления JIT в iOS 10, который делает JIT в iOS Safari более сложной целью.

Самым заметным моментом презентации Крстича стало представление первой в истории программы Apple по вознаграждению за обнаружение ошибок, в рамках которой компания будет выплачивать до 200 000 долларов исследователям, обнаружившим уязвимости в программном обеспечении Apple. Программа вознаграждения за обнаружение ошибок Apple, первоначально ограниченная несколькими десятками исследователей, будет запущена в сентябре.