Nieuws

Apple's nieuwe iPhone beloont hackers voor bugs

Apple's nieuwe iPhone beloont hackers voor bugs


We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

Tijdens de Black Hat hacker-conferentie van vorig jaar in Las Vegas kondigde Apple aan dat het hackbare iPhones zou vrijgeven om beveiligingsonderzoekers te helpen de smartphones te onderzoeken op kwetsbaarheden.

Bijna precies een jaar later is de hackbare iPhone vrijgegeven door Apple's Security Research Device (SRD) -programma. Hoewel sommigen Apple hebben geprezen om hun toewijding aan de beveiliging van hun apparaten, zijn anderen niet zo blij.

GERELATEERD: APPLE AWARDS HACKER $ 100.000 VOOR HET ONTDEKKEN VAN AANMELDEN MET APPLE KWETSBAARHEID

Wat is het 'Security Research Device' van Apple?

Apple staat er al lang om bekend zijn apparaten veilig te houden en weigert ze zelfs maar open te stellen voor de FBI. Hoewel dat geweldig is voor consumenten, omdat het betekent dat ze een zeer veilige telefoon hebben, heeft het het voor beveiligingsonderzoekers moeilijk gemaakt om de iconische smartphone te analyseren op kwetsbaarheden.

Nu zullen voor een paar gelukkigen in staat zijn om op codeniveau diepgaand in iOS te kijken. Met de lancering van Apple's SRD-programma op 22 juli, zo meldt Forbes, zal Apple lanceren wat zij "security research devices" (SRD) hebben genoemd. Deze zullen komen "met een uniek code-executie- en insluitingsbeleid", zegt het bedrijf.

Om toegang te krijgen tot een van deze apparaten, moet een aanvrager zijn ingeschreven voor het Apple Developer Program en een trackrecord van het opsporen van beveiligingsproblemen kunnen aantonen.

Iedereen die wordt geaccepteerd, krijgt in wezen een SRD voor 12 maanden, die alleen voor gebruik binnen een strikt gecontroleerde beveiligingsomgeving zal zijn.

Controversiële beperkingen

Hoewel het onderzoekers toestaat om als nooit tevoren in iOS-code te duiken op zoek naar kwetsbaarheden, heeft het SRD-programma van Apple helaas tot controverse geleid vanwege beperkingen die het bedrijf heeft opgelegd aan onderzoekers die deze kwetsbaarheden vinden.

"Als u de SRD gebruikt om een ​​kwetsbaarheid te vinden, testen, valideren, verifiëren of bevestigen, moet u dit onmiddellijk aan Apple melden en, als de bug zich in code van derden bevindt, aan de juiste derde", aldus de vereisten.

Dat is echter niet het probleem. Het probleem is volgens verschillende commentatoren wat volgt:

Zodra de kwetsbaarheid is gemeld, "zal Apple u een publicatiedatum verstrekken (meestal de datum waarop Apple de update vrijgeeft om het probleem op te lossen)" en "te goeder trouw werken" om de gemarkeerde kwetsbaarheid zo snel mogelijk op te lossen. De beperkingen verhinderen dat onderzoekers vóór de publicatiedatum met de pers praten.

Deze beperking lijkt te zijn aangepast om enkele bekende beveiligingsonderzoekers uit te sluiten die een beleid van 90 dagen hanteren voor hun aankondigingen. Ben Hawkes, technisch leider van Google Project Zero, ging naar Twitter om het volgende te zeggen:

Het lijkt erop dat we het Apple "Security Research Device" niet zullen kunnen gebruiken vanwege de beperkingen op de openbaarmaking van kwetsbaarheden, die specifiek ontworpen lijken om Project Zero en andere onderzoekers uit te sluiten die een 90 dagen-beleid hanteren.

- Ben Hawkes (@benhawkes) 22 juli 2020

Hoewel Apple ongekende toegang tot zijn iOS-systeem toestaat met zijn hackbare iPhones, beweren sommigen dat hun SRD-programma niet gunstig zal zijn vanwege te strikte beperkingen voor beveiligingsonderzoekers die deel uitmaken van het programma.


Bekijk de video: How to tell if your iPhone has been hacked and How to Remove Hack? (December 2022).