Apple: Apple lädt Forscher ein, Sicherheitslücken in einem „besonderen“ iPhone zu finden

Apple Apple laedt Forscher ein Sicherheitsluecken in einem „besonderen iPhone
Apfel lädt Sicherheitsforscher ein, sich dafür zu bewerben iPhone-Sicherheitsforschung Geräteprogramm (SRDP). Es ist Teil des Bug-Bounty-Programms von Apple, bei dem Sicherheitsforscher Geld für die Entdeckung von Sicherheitslücken im iPhone erhalten. Auf seiner Support-Seite verriet Apple, dass sich Sicherheitsforscher für das iPhone 2024 bewerben können SRDP und „arbeiten Sie mit unseren Sicherheitsteams zusammen, um zum Schutz der Benutzer beizutragen und sich für Apple Security Bounty-Prämien zu qualifizieren.“
Auf der Support-Seite heißt es außerdem, dass SRDP-Forscher in den letzten vier Jahren 130 schwerwiegende, sicherheitskritische Schwachstellen entdeckt haben und „ihre Erkenntnisse dabei geholfen haben, neuartige Abhilfemaßnahmen zum Schutz unserer Plattformen umzusetzen.“
Was bekommen Sicherheitsforscher?
Sicherheitsprobleme, die mit einem Sicherheitsforschungsgerät gefunden werden, sind ebenfalls für Apple Security Bounty berechtigt. „Wir freuen uns, über 100 Berichte unserer SRDP-Forscher belohnt zu haben, wobei mehrere Auszeichnungen 500.000 US-Dollar erreichten und der durchschnittliche Preis fast 18.000 US-Dollar betrug“, stellt Apple auf der Support-Seite fest.
Was können Sicherheitsforscher tun?
Die Forscher erhalten eine speziell angefertigte Hardware-Variante davon iPhone 14 Pro, das ausschließlich für die Sicherheitsforschung entwickelt wurde, mit Tools und Optionen, die es Forschern ermöglichen, viele erweiterte Sicherheitsmaßnahmen von iOS zu konfigurieren oder zu deaktivieren, die auf normaler iPhone-Hardware in den Händen von Benutzern nicht deaktiviert werden können.
Darüber hinaus können Forscher ein Security Research Device (SRD) verwenden, um benutzerdefinierte Kernel-Caches zu installieren und zu booten; Beliebigen Code mit beliebigen Berechtigungen ausführen, auch als Plattform und als Root außerhalb der Sandbox; NVRAM-Variablen festlegen; Installieren und starten Sie benutzerdefinierte Firmware für Secure Page Table Monitor (SPTM) und Trusted Execution Monitor (TXM), neu in iOS 17.
Es ist nicht so, dass die gemeldeten Sicherheitslücken behoben werden spezielles iPhone wird wertlos. Recherchiert kann auf einem aktualisierten Gerät weiterarbeiten. „Alle SRDP-Teilnehmer werden ermutigt, Fragen zu stellen und detailliertes Feedback mit Apple-Sicherheitsingenieuren auszutauschen“, bemerkte Apple auf der Webseite.
Wie werden Sicherheitsforscher ausgewählt?
Apple wählt eine begrenzte Anzahl von Sicherheitsforschern aus, die über einen Bewerbungsprozess, der in erster Linie auf einer Erfolgsbilanz in der Sicherheitsforschung basiert, auch auf anderen Plattformen als dem iPhone, einen SRD erhalten. „Wir stellen SRDs auch ausgewählten Lehrkräften auf Universitätsebene zur Verfügung, die sie als Lehrmittel nutzen möchten, um Informatikstudenten an die Sicherheitsforschung heranzuführen“, so das Unternehmen.
Die Online-Bewerbung ist bis zum 31. Oktober 2023 geöffnet. „Wir werden alle Einreichungen bis Ende des Jahres prüfen und ausgewählte Teilnehmer Anfang 2024 benachrichtigen“, fügte Apple auf der Support-Seite hinzu.

toi-tech