Apple позволит «белым» хакерам взламывать iPhone
Компания готовится объявить о расширении программы поддержки сторонних специалистов по безопасности.
Безопасность — один из главных факторов, над которым постоянно работает Apple. По крайней мере, нам заявляют об этом. Но вот какая проблема: кроме как для айфонов, такой программы поддержки сторонних специалистов по безопасности у Apple нет.
Как сообщает Forbes со ссылкой на собственные источники, в четверг на конференции по безопасности Black Hat в Лас-Вегасе Apple объявит о расширении программы. По крайней мере, сообщается, что некоторым специалистам по кибербезопасности раздадут специальные версии айфонов. И вроде бы это будут смартфоны для разработчиков.
«Белых» хакеров (изучающих системы на наличие ошибок и уязвимостей) будут отбирать внутри компании. Так специалисты по безопасности смогут исследовать разные части iOS, что невозможно сделать с коммерческим устройством. Также с подключением специальных устройств они смогут остановить процессор и исследовать память на наличие ошибок. Таким образом, как рассказывают источники Forbes, можно исследовать, что происходит с кодом iOS, когда «ось» атакуют.
При этом компания вряд ли даст полный доступ к айфону. Эти устройства будут чем-то средним между пользовательским заблокированным смартфоном, который можно купить в обычном магазине, и версией для разработчиков Apple.
Также компания объявит, что будет выплачивать за найденные уязвимости до 200 тысяч долларов. Для самой Apple деньги не такие большие, но безопасность устройств должна быть значительно повышена.
А вот как поступит Apple с аналогичными специалистами, работающими над macOS, пока не очень понятно. Например, в феврале юный Линус Хенце обнаружил критическую ошибку в macOS. Она позволяла следить за паролями. В теории злоумышленники могли получить доступ к аккаунтам любого сервиса, включая связки логинов/паролей банковских сайтов пользователей. При этом Линус отказался предоставлять Apple информацию об ошибке, поскольку у компании нет программы вознаграждения специалистов по безопасности.
В конечном итоге мы получим в большей степени безопасные продукты Apple. Это станет не только победой для Apple, но и огромной выгодой для клиентов компании.
Главный исследователь безопасности в Jamf
И это вполне закономерно: специалисты по безопасности тратят кучу времени на исследование продуктов, досконально изучая код и различные сценарии его использования. Это не работа пяти минут. И почему бы их не вознаградить за действительно полезный труд? Ведь всем хочется кушать.
Если компания не может оплатить труд человека, то логично предположить, что он пойдёт туда, где заплатят. И тут «белый» хакер вполне может окраситься в более тёмные цвета. Так что, полагаю, Apple стоит обеспокоиться более близким контактом со сторонними специалистами по безопасности.
UPD: В изначальном тексте говорилось, что у Apple не было программы поддержки специалистов по безопасности. Это не так. На самом деле, она была создана три года назад, но касалась только ошибок и уязвимостей, найденных в iPhone. Приношу свои извинения за допущенную ошибку.
После публикации этого текста стали известны подробности расширения программы. Во-первых, Apple расширила её действие на iCloud, iOS, tvOS, iPadOS, watchOS и macOS. Во-вторых, размер выплат значительно вырос: за обнаружение критической ошибки, представляющей серьёзную угрозу, компания выплатит 1 млн долларов. То есть увеличение произошло в пять раз!