Компания Apple приглашает white hat специалистов принять участие в iPhone Security Research Device Program (SRDP) 2024 года и поискать уязвимости в специально подготовленных версиях iPhone 14 Pro, разработанных для ИБ-исследований. Заявки принимаются до 31 октября 2023 года.
По данным Apple, с момента создания этой программы в 2019 году специалисты смогли обнаружить 130 критических уязвимостей, при этом только за последние полгода было выдано 37 идентификаторов CVE.
Компания сообщает, что отчеты о багах, полученные в рамках этой программы, уже помогли реализовать новые защитные меры и снизить риски в таких областях, как ядро и расширения ядра, а также службы XPC.
Вышеупомянутый iPhone 14 Pro предоставляется исследователям отключенными функциями безопасности и шелл-доступом, что делает возможным поиск уязвимостей на закрытой в обычных условиях платформе. Apple описывает это устройство как «специально подготовленный аппаратный вариант» iPhone, предоставляющий исследователям инструменты, необходимые для деактивации встроенных средств защиты iOS.
Каждый год Apple предоставляет устройства для исследований (Security Research Device, SRD) ограниченному числу ИБ-специалистов, которые подают заявки на участие в программе и тщательно отбираются на основании их «послужного списка», в том числе на других платформах.
«Доступен шелл-доступ, вы сможете запускать любые инструменты, выбирать права и даже кастомизировать ядро, — пишет Apple. — Кроме того, все уязвимости, обнаруженные с помощью SRD, автоматически учитываются в программе Apple Security Bounty. [В прошлом] мы были рады выплатить награды более чем за 100 отчетов наших SRDP-исследователей, причем несколько наград достигали размера 500 000 долларов США, а средний размер награды составил почти 18 000 долларов США».
Также Apple разрешает университетам и ученым запрашивать доступ к SRDP, чтобы, например, использовать устройства в качестве учебного пособия на занятиях, посвященных ИБ.
Сообщается, что все заявки пройдут тщательное рассмотрение до конца года, и в начале 2024 года выбранных участников уведомят о доступе к программе.