Сегодня Apple запускает новую программу исследовательских устройств безопасности Apple, предназначенную для предоставления исследователям безопасности специальных iPhone, предназначенных для исследований безопасности с уникальным исполнением кода и политиками изоляции.
В прошлом году Apple заявила, что предоставит исследователям безопасности доступ к «специальным» iPhone, которые облегчат им поиск уязвимостей и слабых мест для повышения безопасности устройств iOS, что, по-видимому, и является программой, запускаемой сейчас.
iPhone, которые Apple предоставляет исследователям безопасности, менее ограничены, чем потребительские устройства, и облегчат поиск серьезных уязвимостей безопасности.
Apple заявляет, что устройство для исследования безопасности (SRD) предлагает доступ к командной строке и может запускать любые инструменты или разрешения, но в остальном оно ведет себя аналогично стандартному iPhone. SRD предоставляются исследователям безопасности на возобновляемой основе сроком на 12 месяцев и остаются собственностью Apple. Обнаруженные с помощью SRD ошибки должны быть «оперативно» сообщены Apple или соответствующей третьей стороне.
Если вы используете SRD для поиска, тестирования, проверки, валидации или подтверждения уязвимости, вы должны оперативно сообщить о ней Apple, а если ошибка находится в стороннем коде — соответствующей третьей стороне. Если вы не использовали SRD ни в одном аспекте своей работы с уязвимостью, Apple настоятельно рекомендует (и вознаграждает через программу Apple Security Bounty) сообщать об уязвимости, но вы не обязаны это делать.
Если вы сообщаете об уязвимости, затрагивающей продукты Apple, Apple предоставит вам дату публикации (обычно дату выпуска обновления для устранения проблемы). Apple будет добросовестно работать над устранением каждой уязвимости как можно скорее. До даты публикации вы не можете обсуждать уязвимость с другими.
Apple принимает заявки на программу исследовательских устройств безопасности. Требования включают участие в программе Apple Developer Program и наличие опыта в поиске проблем безопасности на платформах Apple.
Участники программы получат доступ к обширной документации и выделенному форуму с инженерами Apple, при этом Apple сообщила TechCrunch, что хочет, чтобы программа была коллаборативной.
Программа исследовательских устройств безопасности будет работать параллельно с программой вознаграждений за обнаружение ошибок, и хакеры смогут подавать отчеты об ошибках в Apple и получать выплаты до 1 миллиона долларов, с возможными бонусами за самые серьезные уязвимости.
