^
Security Research Device

Apple udostępnia Security Research Device dla poszukiwaczy bugów

Jaromir Kopp

23 lipca 2020

Chcesz dostać zjailbreakowanego iPhone’a od Apple? Zgłoś się do Apple Security Research Device Program. Niestety są warunki. Widać, że Apple coraz mocniej dba o bezpieczeństwo swoich systemów i zaczyna używać metod wcześniej nigdy niestosowanych.

Security Research Device Program

W ramach zaangażowania firmy Apple w kwestie bezpieczeństwa, program ma na celu poprawę bezpieczeństwa wszystkich użytkowników systemu iOS, zwiększenie liczby badaczy pracujących ze smartfonem iPhone oraz zwiększenie wydajności tych, którzy już pracują nad bezpieczeństwem systemu iOS. Program zawiera on iPhone’a przeznaczonego wyłącznie do badań nad bezpieczeństwem z unikalną polityką wykonywania i zabezpieczania kodu.

To tekst pochodzący z ogłoszenia zamieszczonego na stronach dla deweloperów przez Apple. Urządzenia dostarczane przez Apple, pozwalają na używanie powłoki Shell i uruchamianie dowolnych narzędzi. Dodatkowo badacz może ustawiać swoje uprawnienia wg upodobań. Jeżeli jednak uprawnienia nie zostaną zmienione, iPhone z programu Security Research Device zachowuje się w sposób jak najbardziej zbliżony do standardowego iPhone’a.

SRD są wypożyczane przez Apple na rok z automatycznym odnowieniem, ale pozostają własnością Apple. Nie są one przeznaczone do użytku osobistego i muszą pozostawać przez cały czas w siedzibie uczestników programu. Dostęp do SRD i korzystanie z nich musi być ograniczone do osób upoważnionych przez firmę Apple.

Jeśli użytkownik korzysta z SRD w celu znalezienia, przetestowania, sprawdzenia, zweryfikowania lub potwierdzenia luki, musi niezwłocznie zgłosić ją do Apple, a jeśli błąd występuje w kodzie innej firmy — do odpowiedniej osoby w tej firmie. Jeśli danych zdobytych za pomocą SRD nie wykorzysta się podczas pracy z odkrytą luką, Apple gorąco zachęca (i nagradza, za pośrednictwem Apple Security Bounty) do zgłoszenia luki. Jednak nie ma takiego obowiązku. Ten występuje tylko, jeżeli luka została przeanalizowana lub odkryta dzięki SRD.

W przypadku zgłoszenia luki mającej wpływ na produkty firmy Apple ustali najwcześniejszą możliwą datę jej publikacji (zazwyczaj jest to data wydania przez Apple aktualizacji w celu rozwiązania problemu). Apple podejmie działania mające na celu usunięcie każdej luki w produktach tak szybko, jak to możliwe. Do dnia publikacji łatki nie można omawiać podatności z innymi użytkownikami.

Luki wykryte w programie SRD są automatycznie traktowane jako zgłoszone do nagrody w programie Apple Security Bounty.

Warunki przystąpienia do Security Research Device Program

Jednym z najważniejszych warunków jest posiadanie udokumentowanego doświadczenia w znajdowaniu problemów z bezpieczeństwem na platformach Apple lub innych nowoczesnych systemach operacyjnych i platformach.

Program jest dostępny w 21 krajach i jest to lista dość nieoczywista. Z byłego „bloku” są na niej tylko dwa państwa: Polska i Węgry. Pozostałe to: Australia, Austria, Belgia, Dania, Finlandia, Francja, Hiszpania, Holandia, Irlandia, Japonia, Luksemburg, Niemcy, Norwegia, Portugalia, Szwajcaria, Szwecja, Wielka Brytania, Włochy i USA.

Widać, że na liście znalazły się kraje, z których badacze i programiści już zasłużyli się w badaniach nad bezpieczeństwem produktów Apple.

Nic tylko się cieszyć!

Jaromir Kopp

Użytkownik komputerów Apple od 1991 roku. Dziennikarz technologiczny, programista i deweloper HomeKit. Propagator przyjaznej i dostępnej technologii. Lubi programować w Swift i czystym C. Tworzy rozwiązania FileMaker. Prowadzi zajęcia z IT i programowania dla dzieci oraz młodzieży, szkoli też seniorów. Współautor serii książek o macOS wydanych przez ProstePoradniki.pl. Projektuje, programuje oraz samodzielnie wykonuje prototypy urządzeń Smart Home. Jeździ rowerem.
Komentarze (2)
L

2 komentarze

  1. HejteR

    A z czego?!

    Odpowiedz
    • HejteR

      Aaa już wiem! Że nie jesteśmy już państwem 'z bloku’. A to prawda. Faktycznie z tego należy się bardzo cieszyć! Na pohybel czarnym i czerwonym!

      Odpowiedz

Wyślij komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *