苹果发布可入侵的iPhone

苹果公司本周宣布,它将开始向研究人员出售经过特殊配置的Security Research Device iPhone,以便他们能够探测漏洞而不会受到标准iPhone安全墙的干扰。

这标志着苹果首次发布此类研究模型,该模型授予专家们几乎无限的操作系统许可,以运行他们自己的程序,自定义命令和代码。iPhone将配备调试工具,并允许访问root shell代码。

苹果公司在去年的黑帽安全大会上首次宣布了发布修改过的iPhone的计划,以使研究人员更容易探测漏洞。

安全专家目前必须依靠越狱或第三方仿真器来研究安全问题。但是这些方法都有局限性。根据苹果公司的说法,由于合法模型与被盗模型之间的固有差异,在越狱手机上获得的结果并不可靠。此外,Apple指出,大多数越狱仅适用于较旧的手机和较旧的iOS版本。

至少部分地意识到这些障碍,苹果公司正在采取这一步骤与研究人员更加紧密地合作。

企业管理公司Jamf的苹果安全研究员Patrick Wardle对《连线》杂志说:“已经证明安全研究人员在发现iOS固有缺陷以及第三方应用程序中的安全和隐私问题方面相当成功,”。“有了这些新设备,它们可能只会找到更多。能够在运行最新版本iOS的现代设备上更轻松地审核和分析第三方应用程序真是太可爱了。这最终将为Apple用户和苹果本身。”

苹果正在接受具有安全研究记录的研究人员的新程序申请。申请人必须是Apple Developer Program中的帐户持有人。这些电话将借给研究人员,并且必须每年进行续订。

该程序将与苹果的漏洞赏金计划一起工作,该计划已于去年扩展到所有研究人员。发现漏洞的研究人员可以从Apple赚取多达100万美元,外加高达50%的奖金,具体取决于他们发现问题的潜在严重性。

计划参与者将受到限制。这些电话不能用于个人通话。研究人员发现的漏洞只有在Apple允许后才能公开发布,大概是在设计补丁之后。

一些安全组织对保密规定感到关注。一位专家解释说,他担心可能存在尚未纠正的重大漏洞,不向公众公开。移动安全公司Guardian的首席执行官兼iOS安全研究人员Will Strafach表示,他赞成公开披露安全问题,以此来迫使有时顽固的公司采取行动。由于苹果公司对信息披露的限制,他说他的公司不会申请该计划。

谷歌安全研究团队Project Zero的本·霍克斯说,出于同样的原因,他的小组也将拒绝参加。他说:“我们将继续研究苹果平台,并向苹果提供我们所有的发现,因为我们认为这样做对用户安全是正确的。但是我承认,我很失望。”

免责声明:本文为转载,非本网原创内容,不代表本网观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。