Бесплатно Экспресс-аудит сайта:

24.07.2020

Ряд исследователей отказались от участия в новой программе Apple SRD

Несколько хорошо известных ИБ-сообществу исследователей безопасности, специализирующихся на поиске уязвимостей в iPhone, отказались от участия в новой программе компании Apple под названием Security Research Device (SRD). Причина отказа – строгие ограничения процедуры раскрытия уязвимостей, передающие весь контроль над раскрытием уязвимостей в руки Apple.

Говоря точнее, от участия в программе SRD отказались участники Project Zero (элитной команды Google по поиску уязвимостей), глава ИБ-компании Guardian Уилл Страфак (Will Strafach), ИБ-компания ZecOps, недавно раскрывшая серию серьезных атак на iOS-устройства, и автор iOS-джейлбрейка Checkm8 исследователь безопасности Axi0mX.

SRD – уникальная программа, аналогов которой среди производителей смартфонов не существует. В рамках программы Apple намерена предоставлять участникам новые версии iPhone до их поступления в продажу. Эти устройства будут иметь меньше ограничений и позволят исследователям глубже проникать в операционную систему и аппаратное обеспечение. Таким образом, у них будет больше возможностей для поиска уязвимостей по сравнению с обычными iPhone, в которых механизмы безопасности не позволяют исследовательским инструментам проникать глубже в ОС.

Apple впервые анонсировала SRD еще в декабре прошлого года, но запустила ее только сейчас. У SRD появился свой официальный сайт, а избранная группа исследователей получила от компании электронные приглашения пройти процедуру проверки, необходимой для получения тестовой версии iPhone.

Однако исследователей привел в замешательство тот факт, что Apple оставляет за собой полный контроль над раскрытием уязвимостей. «Если вы сообщаете об уязвимости в продуктах Apple, вам будет назначена дата публикации (как правило, это дата выхода обновления, исправляющего проблему). Apple будет добросовестно работать над устранением каждой уязвимости как можно скорее. До даты публикации вы не можете обсуждать уязвимость с другими», - гласит один из пунктов правил участия в программе SRD.

Этот пункт дает Apple полный контроль над процессом раскрытия уязвимостей. Он позволяет компании устанавливать дату, когда исследователям безопасности будет разрешено говорить или публиковать что-либо об уязвимостях, обнаруженных в iOS и iPhone в рамках программы. Неудивительно, что многих исследователей не устроило такое положение дел, и они отказались от участия в программе.