(Credito: Apple) Apple fornirà iPhone compatibili con gli hacker ai ricercatori di sicurezza con un track record di scoperta di vulnerabilità nel software Apple come parte del suo programma Apple Security Research Device recentemente annunciato.
Gli esperti useranno i telefoni per cercare bug gravi in ??iOS.
I ricercatori qualificati possono fare domanda qui per riceverne uno.
I nuovi dispositivi sono progettati per affrontare una spada a doppio taglio quando si tratta di sicurezza per iPhone.
Apple ha uno stretto controllo su iOS e sulle modalità di installazione delle app, il che può impedire al malware di infiltrarsi nel suo ecosistema software.
Tuttavia, lo stesso ecosistema chiuso può rendere difficile per i ricercatori di sicurezza analizzare le vulnerabilità di iOS.
Quelle stesse vulnerabilità possono essere estremamente preziose per le cyberspie sponsorizzate dallo stato.
Alcune aziende che vendono strumenti di hacking ai governi pagheranno anche fino a $ 2,5 milioni per possedere i dettagli sui più gravi difetti di sicurezza di iOS.
In risposta, l'anno scorso Apple ha annunciato che alla fine avrebbe iniziato a offrire ai migliori ricercatori di sicurezza del mondo l'accesso a iPhone compatibili con gli hacker.
Questi dispositivi sono dotati di accesso alla shell, consentendo al proprietario di eseguire qualsiasi codice di computer che desidera.
Il codice può anche essere eseguito con diversi gradi di autorizzazioni di sicurezza.
(Credito: Apple) Apple prevede di prestare i telefoni su base rinnovabile di 12 mesi.
"Non sono destinati all'uso personale o al trasporto quotidiano e devono rimanere sempre nei locali dei partecipanti al programma", ha affermato la società.
"L'accesso e l'utilizzo di SRD (Security Research Devices) deve essere limitato alle persone autorizzate da Apple."
Se il proprietario rileva una vulnerabilità in iOS, deve segnalarlo tempestivamente ad Apple.
L'azienda afferma che risolverà la vulnerabilità "non appena possibile", senza menzionare una tempistica specifica.
Ma finché la patch non viene rilasciata, il ricercatore di sicurezza deve rimanere in silenzio sul bug.
Non tutti sono contenti di questo requisito.
Il team di Project Zero di Google, che si concentra sulla ricerca di vulnerabilità precedentemente sconosciute, sottolinea che in genere richiedono a un fornitore di riparare una vulnerabilità entro 90 giorni, altrimenti rilasceranno i dettagli sulla minaccia per avvisare il pubblico.
"Sembra che non saremo in grado di utilizzare il 'Dispositivo di ricerca sulla sicurezza' di Apple a causa delle limitazioni alla divulgazione delle vulnerabilità, che sembrano specificamente progettate per escludere Project Zero e altri ricercatori che utilizzano una politica di 90 giorni", Ben Hawkes, che è a capo del gruppo sponsorizzato da Google.
Project Zero continuerà a esaminare la piattaforma software di Apple per le vulnerabilità di sicurezza.
Anche senza gli iPhone compatibili con gli hacker, il gruppo ha scoperto numerosi difetti nel software dell'azienda, ha detto Hawkes.
"Penso che abbiamo chiesto per la prima volta ad Apple un dispositivo di test per la ricerca sulla sicurezza nel 2014 o all'inizio del 2015.
E da allora abbiamo segnalato ad Apple oltre 350 vulnerabilità di sicurezza", ha aggiunto.
Secondo TechCrunch, i ricercatori di sicurezza che trovano bug sui dispositivi potranno ricevere ricompense tramite il programma bug bounty di Apple.
A seconda della gravità della vulnerabilità, un ricercatore può guadagnare fino a $ 1 milione.
Per ora, il Security Research Device Program di Apple sarà disponibile solo per i ricercatori in 23 paesi, inclusi gli Stati Uniti.
Cina e Russia sono entrambe assenti dalla lista.
(Credito: Apple) Apple fornirà iPhone compatibili con gli hacker ai ricercatori di sicurezza con un track record di scoperta di vulnerabilità nel software Apple come parte del suo programma Apple Security Research Device recentemente annunciato.
Gli esperti useranno i telefoni per cercare bug gravi in ??iOS.
I ricercatori qualificati possono fare domanda qui per riceverne uno.
I nuovi dispositivi sono progettati per affrontare una spada a doppio taglio quando si tratta di sicurezza per iPhone.
Apple ha uno stretto controllo su iOS e sulle modalità di installazione delle app, il che può impedire al malware di infiltrarsi nel suo ecosistema software.
Tuttavia, lo stesso ecosistema chiuso può rendere difficile per i ricercatori di sicurezza analizzare le vulnerabilità di iOS.
Quelle stesse vulnerabilità possono essere estremamente preziose per le cyberspie sponsorizzate dallo stato.
Alcune aziende che vendono strumenti di hacking ai governi pagheranno anche fino a $ 2,5 milioni per possedere i dettagli sui più gravi difetti di sicurezza di iOS.
In risposta, l'anno scorso Apple ha annunciato che alla fine avrebbe iniziato a offrire ai migliori ricercatori di sicurezza del mondo l'accesso a iPhone compatibili con gli hacker.
Questi dispositivi sono dotati di accesso alla shell, consentendo al proprietario di eseguire qualsiasi codice di computer che desidera.
Il codice può anche essere eseguito con diversi gradi di autorizzazioni di sicurezza.
(Credito: Apple) Apple prevede di prestare i telefoni su base rinnovabile di 12 mesi.
"Non sono destinati all'uso personale o al trasporto quotidiano e devono rimanere sempre nei locali dei partecipanti al programma", ha affermato la società.
"L'accesso e l'utilizzo di SRD (Security Research Devices) deve essere limitato alle persone autorizzate da Apple."
Se il proprietario rileva una vulnerabilità in iOS, deve segnalarlo tempestivamente ad Apple.
L'azienda afferma che risolverà la vulnerabilità "non appena possibile", senza menzionare una tempistica specifica.
Ma finché la patch non viene rilasciata, il ricercatore di sicurezza deve rimanere in silenzio sul bug.
Non tutti sono contenti di questo requisito.
Il team di Project Zero di Google, che si concentra sulla ricerca di vulnerabilità precedentemente sconosciute, sottolinea che in genere richiedono a un fornitore di riparare una vulnerabilità entro 90 giorni, altrimenti rilasceranno i dettagli sulla minaccia per avvisare il pubblico.
"Sembra che non saremo in grado di utilizzare il 'Dispositivo di ricerca sulla sicurezza' di Apple a causa delle limitazioni alla divulgazione delle vulnerabilità, che sembrano specificamente progettate per escludere Project Zero e altri ricercatori che utilizzano una politica di 90 giorni", Ben Hawkes, che è a capo del gruppo sponsorizzato da Google.
Project Zero continuerà a esaminare la piattaforma software di Apple per le vulnerabilità di sicurezza.
Anche senza gli iPhone compatibili con gli hacker, il gruppo ha scoperto numerosi difetti nel software dell'azienda, ha detto Hawkes.
"Penso che abbiamo chiesto per la prima volta ad Apple un dispositivo di test per la ricerca sulla sicurezza nel 2014 o all'inizio del 2015.
E da allora abbiamo segnalato ad Apple oltre 350 vulnerabilità di sicurezza", ha aggiunto.
Secondo TechCrunch, i ricercatori di sicurezza che trovano bug sui dispositivi potranno ricevere ricompense tramite il programma bug bounty di Apple.
A seconda della gravità della vulnerabilità, un ricercatore può guadagnare fino a $ 1 milione.
Per ora, il Security Research Device Program di Apple sarà disponibile solo per i ricercatori in 23 paesi, inclusi gli Stati Uniti.
Cina e Russia sono entrambe assenti dalla lista.
