Apple pronta a distribuire gli iPhone ''speciali'' per scovare i bug. Ecco come richiederli

Apple pronta a distribuire gli iPhone ''speciali'' per scovare i bug. Ecco come richiederli

I ricercatori di sicurezza che desiderano scovare bug su iPhone possono ora fare richiesta alla Mela per ricevere un iPhone "speciale": accesso alla shell e possibilità di usare qualsiasi strumento software

di pubblicata il , alle 16:20 nel canale Apple
AppleiPhoneiOS
 

Ad un anno dall'annuncio del Security Research Device Program, Apple ha iniziato ad accettare le richieste per gli iPhone "speciali" che i ricercatori di sicurezza possono utilizzare per scoprire eventuali falle che potrebbero condurre a problemi di sicurezza più o meno gravi. Gli iPhone che la Mela distribuirà nel contesto del programma saranno destinati "all'uso in un ambiente controllato solo per attività di ricerca sulla sicurezza".

Ma che cosa rende "speciali" questi iPhone? Si tratta di dispositivi in tutto e per tutto simili a quelli in commercio, con l'importante differenza di permettere l'accesso alla Shell di sistema e permettere l'esecuzione ai ricercatori di qualsiasi strumento software. L'obiettivo è quello di mettere nelle mani dei ricercatori di sicureza un dispositivo rappresentativo della realtà, sul quale però poter indagare più a fondo.

Gli iPhone appartenenti al Security Research Device Program saranno resi disponibili con un'autorizzazione della durata di 12 mesi e rinnovabile, ma rimangono di proprietà di Apple. I termini della partecipazione al programma impongono che questi dispositivi rimangano nei locali delle realtà che partecipano al programma e vietano l'uso personale o il trasporto quotidiano. L'accesso e l'uso degli iPhone "speciali" devono poi essere limitati alle persone autorizzate da Apple.

Apple ha inoltre sottolineato che gli iPhone facenti parte del programma saranno configurati con un profilo di autorizzazioni tali per cui i ricercatori avranno maggior accesso ai meccanismi di funzionamento di iOS, dando così modo di riscontrare un maggior numero di problemi delle varie release di iOS prima che approdino alla fase di beta o a quella per il rilascio pubblico.

Solamente chi è abbonato al Developer Program di Apple e con una comprovata esperienza nella ricerca di problemi di sicurezza su piattaforme Apple o "altri sistemi operativi e piattaforme" potrà ottenere l'accesso ai dispositivi del Security Research Device Program. L'accesso sarà negato inoltre a coloro i quali si trovano in Paesi sottoposti a embargo USA o a chi è impiegato Apple o lo è stato nell'ultimo anno.

Come detto poco sopra, il programma è stato annunciato lo scorso anno in occasione dell'edizione 2019 della conferenza Black Hat, quando Apple ha inoltre comunicato di aver aumentato i premi del suo programma di ricompense in vigore fin dal 2016.

In particolare una vulnerabilità che consente un accesso "zero-click" a dati sensibili dell'utente, tramite una rete e senza interazione da parte dell'utente stesso può fruttare allo scopritore fino a 500 mila dollari di ricompensa. Chi invece individua una vulnerabilità che permette un attacco che preveda l'esecuzione di codice a livello kernel ottenendo persistenza e compiuta senza interazione dell'utente, potrà essere ricompensato fino ad 1 milione di dollari. E questi premi possono ricevere una maggiorazione del 50% se i problemi sono individuati in una build pre-release di iOS e vengono comunicati ad Apple prima del rilascio pubblico.

Chi avesse i requisiti in regola e fosse interessato a lavorare sugli iPhone del programma Security Research Device Program, può avanzare la richiesta partendo dalla pagina ufficiale del programma.

5 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
CIMO123 Luglio 2020, 16:27 #1
Ma sono solo io ad essere cattivo e pensare (se lavoro al so dell'iphone) di creare piano piano codice buggato e poi dividire con uno che si candida al programma dei bug svelandogli la falla?
😋
Unrealizer23 Luglio 2020, 16:35 #2
Originariamente inviato da: CIMO1
Ma sono solo io ad essere cattivo e pensare (se lavoro al so dell'iphone) di creare piano piano codice buggato e poi dividire con uno che si candida al programma dei bug svelandogli la falla?
😋


Se vuoi farti licenziare e portare in tribunale puoi farlo

Comunque questo programma ha un'importante fregatura: qualunque bug trovato tramite SRD non può seguire nessun protocollo di responsible disclosure, non potrà essere pubblicato finché Apple non lo fixerà, annullando di fatto l'unica arma che i ricercatori hanno per forzare i produttori a fixare i bug

Per questo motivo Project Zero ha detto che non parteciperà al programma
cdimauro24 Luglio 2020, 07:26 #3
Originariamente inviato da: CIMO1
Ma sono solo io ad essere cattivo e pensare (se lavoro al so dell'iphone) di creare piano piano codice buggato e poi dividire con uno che si candida al programma dei bug svelandogli la falla?
😋

Beh, sì, credo che sia solo tu a pensarlo, perché nelle aziende di un certo peso il codice viene sottoposto a processo di revisione prima di essere integrato nel ramo principale e andare poi produzione, per cui è difficile (ma non impossibile, sia chiaro: gli sbagli ci posso sempre essere) che un meccanismo del genere possa funzionare.
eeWee7224 Luglio 2020, 09:25 #4

Importante fregatura... Mah

Dice Unrealizer:
"Comunque questo programma ha un'importante fregatura: qualunque bug trovato tramite SRD non può seguire nessun protocollo di responsible disclosure, non potrà essere pubblicato finché Apple non lo fixerà, annullando di fatto l'unica arma che i ricercatori hanno per forzare i produttori a fixare i bug"

A parte il "fissare i bug" di cui non colgo la maggiore efficacia rispetto a "chiudere le falle" "risolvere i bachi" etc.

Questo programma è della Apple. Secondo voi la Apple ha interesse a chiudere le falle che incontra o sapere che ci sono e attendere che qualcuno - ProjectZero, magari; magari imbeccato da qualcuno dei collaudatori di questo progetto - le trovi? O che qualche Jailbreaker le sfrutti?

Mi sembra un ragionamento pretestuoso per sminuire una cosa che - mi pare - non era nella filosofia Apple fino a poco fa. E qualora mi sbagli e invece sia prassi comune in Apple, non vedo perché Apple dovrebbe rendere pubblici queste potenziali aperture o debolezze del SO *prima* di averle chiuse/rinforzate. Davvero. Non è nemmeno un SO open-source!
Unrealizer24 Luglio 2020, 09:48 #5
Originariamente inviato da: eeWee72
Dice Unrealizer:
"Comunque questo programma ha un'importante fregatura: qualunque bug trovato tramite SRD non può seguire nessun protocollo di responsible disclosure, non potrà essere pubblicato finché Apple non lo fixerà, annullando di fatto l'unica arma che i ricercatori hanno per forzare i produttori a fixare i bug"

A parte il "fissare i bug" di cui non colgo la maggiore efficacia rispetto a "chiudere le falle" "risolvere i bachi" etc.

Questo programma è della Apple. Secondo voi la Apple ha interesse a chiudere le falle che incontra o sapere che ci sono e attendere che qualcuno - ProjectZero, magari; magari imbeccato da qualcuno dei collaudatori di questo progetto - le trovi? O che qualche Jailbreaker le sfrutti?

Mi sembra un ragionamento pretestuoso per sminuire una cosa che - mi pare - non era nella filosofia Apple fino a poco fa. E qualora mi sbagli e invece sia prassi comune in Apple, non vedo perché Apple dovrebbe rendere pubblici queste potenziali aperture o debolezze del SO *prima* di averle chiuse/rinforzate. Davvero. Non è nemmeno un SO open-source!


"Fixare i bug" è solo questione di abitudine, nulla di più

Riguardo alla disclosure: è una cosa molto grave

Esiste un concetto chiamato "responsible disclosure" (divulgazione responsabile) che consiste nel notificare il produttore di un problema di sicurezza e dargli un tempo limite per risolvere, solitamente 90 giorni.

Questo perché il motivo di questa ricerca non è per fare un favore al produttore, ma evitare problemi per gli utenti: se un bug di sicurezza è stato trovato da un ricercatore, con buone probabilità è stato trovato anche da qualcuno che lo userà per scopi malevoli o lo venderà sul mercato nero (possibilmente a qualcuno che lo userà per scopi malevoli)

La responsible disclosure fa si che il produttore non ignori il bug, perché un bug divulgato per questo motivo fa notizia, mette tutti a rischio spostando comunque la responsabilità sul produttore e soprattutto lo mette in cattiva luce.

Questa tecnica è a tutti gli effetti un ricatto del produttore, ma è anche l'unico modo per tenerli in riga: ricordi i 200 e passa giorni che servivano a Microsoft prima che risolvesse certi bug in Internet Explorer? Come mai non succede quasi più e quando succede fa notizia?

Quella clausola ANNULLA questo strumento importantissimo senza un reale beneficio per nessuno se non Apple, che non è più forzata a risolvere i problemi di sicurezza in maniera puntuale (che ripeto, sono un problema per gli utenti)

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^