Apple komt met aangepaste iPhone voor beveiligingsonderzoek
Apple komt met een aangepaste iPhone voor beveiligingsonderzoek waar een selecte groep onderzoekers mee kan gaan testen, maar Google, verschillende onderzoekers en securitybedrijven zijn hier niet tevreden over.
Het Security Research Device van Apple moet onderzoekers een "gecontroleerde omgeving" voor beveiligingsonderzoek bieden. Zo hebben onderzoekers shelltoegang en kunnen ze elke willekeurige tool draaien voor het vinden van bugs. Om de aangepaste iPhone te kunnen onderzoeken stelt Apple echter verschillende voorwaarden. Zo zijn de apparaten, die eigendom van Apple blijven, alleen toegankelijk voor onderzoekers die een bewezen "track record" hebben met het vinden van kwetsbaarheden in producten van Apple of andere moderne besturingssystemen en platformen.
Wanneer onderzoekers een kwetsbaarheid in de SRD vinden moeten ze die snel aan Apple melden. Vervolgens zal Apple aan de onderzoeker laten weten wanneer het probleem wordt verholpen. Tot het verschijnen van de beveiligingsupdate mag de onderzoeker geen details over de kwetsbaarheid openbaar maken of met anderen delen.
Dit laatste punt is een spelbreker voor Google en andere onderzoekers en bedrijven die naar de veiligheid van Apples producten kijken. Google wist de afgelopen jaren meer dan 350 kwetsbaarheden in de producten van Apple te vinden. Het techbedrijf hanteert een deadline van negentig dagen voor het verhelpen van gerapporteerde beveiligingslekken.
Doordat Apple nu bepaalt wanneer een update verschijnt en een onderzoeker hierover mag publiceren, stelt Google dat het niet aan het programma kan deelnemen. Ook securitybedrijf ZecOps zegt vanwege de door Apple opgestelde regels geen gebruik van de aangepaste iPhone te zullen maken. Er zijn echter ook positieve reacties op het programma van Apple.
Had Apple niet ook gewoon een reward programma, of doe je daar niet meer aan mee als je zo’n speciaal geprepareerd apparaatje voor krijgt (nou ja, krijgt ... het blijft van Apple). Bedenkelijker vind ik dat Apple op deze manier kwetsbaarheden makkelijker onder de pet kan houden. Niet dat dat waarschijnlijk heel veel uitmaakt, want als één iemand een kwetsbaarheid kan vinden dan kan een ander dat ook.
En als je ondersoeker bent dan pak je toch liever een apparaatje wat je in de winkel kan kopen? Wie weet wat Apple met deze geprepareerde apparaten uithaalt.
Ik gebruik zelf Apple, maar heb nog nooit de behoefte gehad te jailbrake-n. Wat me opvalt is dat tegenwoordig meteen na beschikbaar komen van een nieuwe iOS-versie er alweer een jailbrake beschikbaar is. Valt het me nu meer op, of zijn jailbrakes tegenwoordig inderdaad sneller beschikbaar?
Nergens in het artikel wordt gerept over de beloning, ik vraag me echt af waarom dan wordt gedacht dat er geen verdienmodel is. Zeker als er slechts een selecte groep met bewezen track record aan mag werken, mag je er vanuit gaan dat dit soort mensen het niet voor niets doen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.