Хакер #305. Многошаговые SQL-инъекции
На этой неделе компания Apple объявила об официальном запуске программы Security Research Device (SRD), которую анонсировали еще в прошлом году. В рамках этой инициативы избранным исследователям предоставят специальные версии iPhone.
У таких устройств отключено большинство функций безопасности, и инженеры Apple используют такие девайсы для поиска проблем (еще до окончательного одобрения прототипов и отправки устройств в массовое производство). Устройства будут иметь меньше ограничений, обеспечат более глубокий доступ к операционной системе и железу, и позволят специалистам обнаружить проблемы, которые нельзя выявить на обычных iPhone. Ранее такие девайсы нередко попадали на черный рынок, где они продавались за немалые деньги, и порой оказывались в руках брокеров уязвимостей или продавцов 0-day.
Исследователям предлагается подать заявку на участие в SRD, причем для этого необязательно иметь некое профильное образование и кучу дипломов. Достаточно обладать подтвержденным опытом в сфере ИБ-исследований, причем не только iPhone, но и других устройств и ПО, включая Android, Windows и Linux.
Однако многих ИБ-экспертов смутили официальные правила программы. Если в прошлом году ИБ-сообщество лишь поприветствовало решение Apple расширить программу bug bounty и распространить среди специалистов специальные версии iPhone, теперь специалисты критикуют компанию и пишут, что не станут участвовать в подобном.
Основная проблема заключается в пункте правил SRD, который гласит:
«Если вы сообщаете об уязвимости, затрагивающей продукты Apple, Apple сообщит вам дату публикации (как правило, это дата, когда Apple выпустит обновление для устранения проблемы). <…> До [оговоренной] даты публикации вы не сможете обсуждать уязвимость с другими».
В сущности, этот пункт предоставляет компании Apple полный контроль над процессом раскрытия уязвимостей. Именно производитель будет устанавливать дату публикации, после которой исследователям разрешат сообщать или публиковать что-либо о найденных в рамках SRD уязвимостях в iOS и iPhone. Из-за этого многие специалисты опасаются, что Apple будет злоупотреблять этим правом и задерживать важные обновления безопасности, откладывая дату публикации и не позволяя специалистам предать проблемы огласке.
Одним из первых на эту особенность правил обратил внимание руководитель группы Google Project Zero Бен Хокерс (Ben Hawkers). Он пишет в Twitter:
«Похоже, что мы не сможем использовать Apple Security Research Device из-за ограничений на раскрытие уязвимостей, которые, кажется, специально предназначены для исключения [из программы] Project Zero и других исследователей, которые придерживаются правила 90 дней».
Сообщение Хокерса привлекло внимание других ИБ-исследователей, которые поддержали решение Google Project Zero. Так, о своем нежелании участвовать в программе на таких условиях уже заявили глава компании Guardian Уилл Страфач (Will Strafach), специалисты компании ZecOps, а также известный исследователь Axi0mX (автор эксплоита Checkm8).
«Сроки раскрытия информации [об уязвимостях] являются стандартной практикой в отрасли. Они необходимы. Но Apple требует от исследователей подождать неограниченное количество времени, на усмотрение Apple, прежде чем они смогут раскрыть информацию об ошибках, обнаруженные в рамках Security Research Device Program. Сроки не установлены. Это ядовитая пилюля», — пишет Axi0mX.
Бывший глава по информационно безопасности в Facebook Алекс Стамос также подверг действия Apple критике. Он пишет, что если Apple удастся настоять на своем, навязать свои условия исследователям (а также выиграть судебный процесс против сервиса виртуализации iOS), то «можно попрощаться с результативными публичными исследованиями в области безопасности в США».
If Apple wins this battle (which includes their lawsuit against virtualization platforms) then we can kiss impactful public security research in the US goodbye. Only private bounty participants and lawsuit-proof foreign adversaries will be able to do OS security work.
— Alex Stamos (@alexstamos) July 22, 2020
Издание ZDNet отмечает, что bug bounty программу Apple критиковали и ранее. К примеру, в апреле текущего года macOS- и iOS-разработчик Джефф Джонсон (Jeff Johnson) опубликовал серию сообщений в Twitter, где писал следующее:
«Я думаю о выходе из программы Apple Security Bounty. Не вижу никаких доказательств того, что Apple серьезно относится к этой программе. Я слышал о выплате лишь одного вознаграждения, и та уязвимость даже не была специфична именно для Mac. Кроме того, в Apple Product Security несколько недель игнорировали мое последнее письмо.
Apple объявила об этой программе в августе [прошлого года], не запускала ее до Рождества, а теперь, насколько мне известно, до сих пор не заплатила ни одному исследователю безопасности Mac. Это смешно. Думаю, их цель заключается в том, чтобы заставить исследователей молчать об ошибках как можно дольше».