Apple заявила о старте новой программы по поиску уязвимостей в iOS для ИБ-исследователей — Apple Security Research Device Program. Компания будет выдавать участникам этой программы определенным образом настроенные iPhone под названием «устройства исследования безопасности» (Security Research Device — SRD). Специальные смартфоны будут выдаваться исследователям на 12 месяцев с условием обязательного возврата и возможностью продления периода их использования в случае договоренности с Apple.
Чтобы получить устройство SRD исследователь должен быть зарегистрирован в программе разработчиков Apple, быть совершеннолетним, не работать в Apple, иметь опыт работы в поиске уязвимостей в iOS, а также обязательно проживать в одной из следующих стран (России там нет): Австралия, Австрия, Бельгия, Канада, Чехия, Дания, Финляндия, Франция, Германия, Венгрия, Ирландия, Италия, Япония, Люксембург, Нидерланды, Норвегия, Польша, Португалия, Испания, Швеция, Швейцария, Великобритания, США. Передавать устройство SRD в другие руки, а также использовать его в качестве личного смартфона запрещено. В случае его потери необходимо немедленно известить компанию. Причем количество устройств SRD ограничено, поэтому в Apple ожидают превышение количества заявок от исследователей и поясняют, что они достанутся только лишь части участников.
Фактически, исследователи получат от Apple кастомную версию iPhone с разблокированным SSH-доступом и специальной консолью суперпользователя. На нем можно будет запускать различные команды управления, а также будет открыт доступ к аппаратной части. Также Apple предоставит удаленным новым тестировщикам отладочный инструментарий и доступ к внутренней документации и специализированному форуму для связи с инженерами компании.
Программа Apple Security Research Device Program является продолжением политики компании по усилению систем безопасности пользовательских устройств, включая оперативное устранение обнаруженных уязвимостей и привлечение к этому процессу проверенных сторонних разработчиков. В Apple с 2016 года действует программа вознаграждения (bug bounty) для разработчиков за найденные уязвимости в сервисах и устройствах компании.
См. также:
