Apple предоставит исследователям специальные iPhone

На этой неделе компания Apple объявила об официальном запуске программы Security Research Device (SRD), которую анонсировали еще в прошлом году. В рамках этой инициативы избранным исследователям предоставят специальные версии iPhone.

У таких устройств отключено большинство функций безопасности, и инженеры Apple используют такие девайсы для поиска проблем (еще до окончательного одобрения прототипов и отправки устройств в массовое производство). Устройства будут иметь меньше ограничений, обеспечат более глубокий доступ к операционной системе и железу, и позволят специалистам обнаружить проблемы, которые нельзя  выявить на обычных iPhone. Ранее такие девайсы нередко попадали на черный рынок, где они продавались за немалые деньги, и порой оказывались в руках брокеров уязвимостей или продавцов 0-day.

Исследователям предлагается подать заявку на участие в SRD, причем для этого необязательно иметь некое профильное образование и кучу дипломов. Достаточно обладать подтвержденным опытом в сфере ИБ-исследований, причем не только iPhone, но и других устройств и ПО, включая Android, Windows и Linux.

Однако многих ИБ-экспертов смутили официальные правила программы. Если в прошлом году ИБ-сообщество лишь поприветствовало решение Apple расширить программу bug bounty и распространить среди специалистов специальные версии iPhone, теперь специалисты критикуют компанию и пишут, что не станут участвовать в подобном.

Основная проблема заключается в пункте правил SRD, который гласит:

«Если вы сообщаете об уязвимости, затрагивающей продукты Apple, Apple сообщит вам дату публикации (как правило, это дата, когда Apple выпустит обновление для устранения проблемы). <…> До [оговоренной] даты публикации вы не сможете обсуждать уязвимость с другими».

В сущности, этот пункт предоставляет компании Apple полный контроль над процессом раскрытия уязвимостей. Именно производитель будет устанавливать дату публикации, после которой исследователям разрешат сообщать или публиковать что-либо о найденных в рамках SRD уязвимостях в iOS и iPhone. Из-за этого многие специалисты опасаются, что Apple будет злоупотреблять этим правом и задерживать важные обновления безопасности, откладывая дату публикации и не позволяя специалистам предать проблемы огласке.

Одним из первых на эту особенность правил обратил внимание руководитель группы Google Project Zero Бен Хокерс (Ben Hawkers). Он пишет в Twitter:

«Похоже, что мы не сможем использовать Apple Security Research Device из-за ограничений на раскрытие уязвимостей, которые, кажется, специально предназначены для исключения [из программы]  Project Zero и других исследователей, которые придерживаются правила 90 дней».

Сообщение Хокерса привлекло внимание других ИБ-исследователей, которые поддержали решение Google Project Zero. Так, о своем нежелании участвовать в программе на таких условиях уже заявили глава компании Guardian Уилл Страфач (Will Strafach), специалисты компании ZecOps, а также известный исследователь Axi0mX (автор эксплоита Checkm8).

«Сроки раскрытия информации [об уязвимостях] являются стандартной практикой в ​​отрасли. Они необходимы. Но Apple требует от исследователей подождать неограниченное количество времени, на усмотрение Apple, прежде чем они смогут раскрыть информацию об ошибках, обнаруженные в рамках Security Research Device Program. Сроки не установлены. Это ядовитая пилюля», — пишет Axi0mX.

Бывший глава по информационно безопасности в Facebook Алекс Стамос также подверг действия Apple критике. Он пишет, что если Apple удастся настоять на своем, навязать свои условия исследователям (а также выиграть судебный процесс против сервиса виртуализации iOS), то «можно попрощаться с результативными публичными исследованиями в области безопасности в США».

Издание ZDNet отмечает, что bug bounty программу Apple критиковали и ранее. К примеру, в апреле текущего года macOS- и iOS-разработчик Джефф Джонсон (Jeff Johnson) опубликовал серию сообщений в Twitter, где писал следующее:

«Я думаю о выходе из программы Apple Security Bounty. Не вижу никаких доказательств того, что Apple серьезно относится к этой программе. Я слышал о выплате лишь одного вознаграждения, и та уязвимость даже не была специфична именно для Mac. Кроме того, в Apple Product Security несколько недель игнорировали мое последнее письмо.

Apple объявила об этой программе в августе [прошлого года], не запускала ее до Рождества, а теперь, насколько мне известно, до сих пор не заплатила ни одному исследователю безопасности Mac. Это смешно. Думаю, их цель заключается в том, чтобы заставить исследователей молчать об ошибках как можно дольше».

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (2)

  • Так нужно просто чтобы за каждй такой баг Apple заплатила исследователю столько, за сколько он согласен молчать столько, сколько хочет Apple :) Только нужно сделать так, чтобы всё это работало по принципу транзакции, т.е. либо совершаем такую сделку, либо аннулируем всё и никто ничего не видел (но Apple, конечно, видела, и будет делать с этой информацией что считает нужным, просто пусть не предъявляет разработчику претензий, как будто он никогда не писал об этом баге). Только вот, похоже, Apple сделала такую форму невозможной :(
    Но там написано: "Если вы сообщаете об уязвимости, затрагивающей продукты Apple". Т.е. можно и не сообщать. Или сообщать о том, о чём считаешь нужным, а о чём считаешь нужным сообщать так, чтобы к тебе не было санкций.
    Может, в чём-то я и ошибся — я не спец. Но в любом, случае тут ерунда какая-то получается, а не нормальная программа поиска уязвимостей, в общем)

  • Проблема даже больше не в молчании, а в том, что если доложить об эксплоите, а его apple не исправит, то может быть этот эксплоит найдёт злоумышленник и использует, а последствия повесят на того к то об этом эксплоите доложил ранее :))) и потом бегай доказывай что ты молчал...

Похожие материалы