Команда проекта Google в ноль не применяя программы СРД компании Apple

Apple SRD


Изображения: Яблоко

особенность

Securing Your Mobile Enterprise

Защита Мобильного Предприятия

Мобильные устройства продолжают свое шествие к тому, чтобы стать мощной производительности машины. Но они также являются одним из основных рисков безопасности, если им не управлять должным образом. Мы смотрим на последний мудрости и рекомендации по обеспечению безопасности мобильных сотрудников.

Подробнее

Некоторые из самых больших имен в области проведения исследований по уязвимости iPhone уже сегодня объявила о планах пропустить новые исследования защитного устройства от Apple программа (СРД) из-за ограничительных правил компании Apple, связанные с процессом раскрытия уязвимости, которые эффективно намордники исследователей в области безопасности.

Список включает в себя проект Ноль (Гугл элиты ОС команда), утверждается (генеральный директор мобильной безопасности компания Гардиан), ZecOps (мобильной охранной фирмы, которые недавно обнаружили серию атак на iOS), и Axi0mX (в iOS уязвимость исследователь и автор Checkm8 прошивкой использования).

Что такое программа СРД Яблоко

Исследование устройства безопасности программы (ППУ) является уникальной среди производителей смартфонов. В рамках программы СРД, компания Apple пообещала обеспечить предварительной продаже айфонов для исследователей безопасности.

Эти iPhones являются модифицированными, имеют меньше ограничений и позволяют глубже открыть для операционной системы iOS и устройства оборудования, поэтому исследователи в области безопасности может проверить на ошибки, которые они обычно не были бы в состоянии обнаружить на стандартных айфонов, где телефон по умолчанию функции безопасности, предотвращения защиты от видя глубже в трубку.

Apple официально объявила о программе нич в декабре 2019 года, когда компания также расширила свои программы ошибка щедрости включать больше своих операционных систем и платформ.

Однако, в то время как компания продемонстрировала в прошлом году, он не был до сегодня, что Apple, на самом деле, запустили его, опубликовав официальный СРД сайт и по электронной почте некоторые исследователи в области безопасности и ошибка охотников пригласить их применять для процесса проверки необходимо получить отвязанный айфон.

Новые строгие правила

Этот новый веб-сайт также содержит официальные правила программы СРД, которую исследователи в области безопасности не было возможности рассмотреть в мельчайших подробностях.

Но в то время как сообщество безопасности встретили в прошлом году объявление СРД Apple с радостью, считая его первым шагом в правильном направлении, они не очень счастливы с Apple.

По жалобам на социальных медиа, это было одно конкретное предложение, которое втирают большинство исследователей безопасности неправильно:

«Если вы сообщаете об уязвимостях продуктов Apple, компания Apple предоставит дату публикации (обычно дата, на которую Apple выпустила обновление для устранения проблемы). Apple будет работать в духе доброй воли для устранения каждой уязвимости, как только практично. До даты публикации, вы не можете обсуждать эту уязвимость с другим».

Предложение эффективно позволяет Apple, чтобы морда исследователей в области безопасности.

Предложение дает Apple полный контроль над процессом раскрытия уязвимости. Это позволяет производителю iPhone установить дату публикации, когда исследователи безопасности разрешается говорить или публиковать что-либо об уязвимости они обнаружили в iOS и iPhone, в то время как часть программы нич.

Многие исследователи безопасности теперь боятся, что Apple будет злоупотреблять этим пунктом, чтобы откладывать важные патчи и затягивал столь необходимые доставки обновлений безопасности, отложив даты публикации, после чего они позволили говорить об iOS ошибки.

Другие боятся, что Apple будет использовать этот пункт, чтобы заставить замолчать свою работу и не допустить их даже публикации о своей работе.

Проект Zero и другие решают не применять

Первым заметил этот пункт и понять его последствия был Бен лоточников, проект Google нулевые команды.

«Похоже, мы не сможем использовать яблоко ‘безопасности прибора из-за уязвимости раскрытие ограничений, которые, кажется, специально разработаны для исключения проекта Ноль и других исследователей, которые используют 90-дневный политику», — Хоукс сказал на Twitter сегодня.

Хоукс твит получила большое внимание в обществе защиты информации, и другие исследователи в области безопасности только после решения команды. Выступая с ZDNet сестра-сайт Cnet, будет утверждается также сказал, что он не будет вступать в программу, потому что в этом же пункте.

На Twitter, кибер-безопасности фирма ZecOps также объявила, что будет пропускать программа СРД и продолжить взлом айфонов старым добрым способом.

В разговоре с ZDNet, исследователь безопасности Axi0mX сказал, что они думали о том, что не принимала участие.

«Сроки раскрытия информации является стандартной практикой в отрасли. Они необходимы», — сказал ученый.

«Яблоко требует от исследователя ждать неограниченное количество времени, по усмотрению компании Apple, прежде чем они смогут раскрыть какие-либо ошибки, найденные с программой исследования устройства безопасности. Нет крайнего срока. Это ядовитая пилюля», — добавил он.

Алекс Стамос, Facebook бывший начальник информационной безопасности сотрудников, также раскритиковал компании Apple, который был частью более масштабного решения компании предприняло в последние месяцы на кибер-безопасности и уязвимости научного сообщества, — которые также включены в иск против мобильного устройства виртуализации компании, что способствует безопасности исследователи отследить прошивкой баги.

Одно дело видеть без имени эксперты по безопасности соединиться с программу безопасности, но это другое дело увидеть самых больших имен в индустрии атакующая.

Программы безопасности Apple не очень хорошо просматривается

Опасения, что Apple может злоупотреблять правилами программы СРД похоронить важная iOS баги и исследования оправданы, для тех, кто последовал за рекламным от Apple. Компания Apple была обвинена в тот же практике раньше.

В серии твитов, опубликованных в апреле, macOS и iOS разработчика Джефф Джонсон напал на компанию за то, что не достаточно серьезно относится к своим обязанностям безопасности.

«Я подумываю о выходе из программы Баунти безопасности Apple», — сказал Джонсон. «Я не вижу никаких доказательств, что Apple серьезно относится к программе. Я слышал только 1 выплата за головами, и ошибка даже не характерные для компьютеров Mac. Кроме того, безопасность продуктов Apple проигнорировала мое последнее письмо к ним в течение недели.

«Apple анонсировала программу в августе, не открывал ее, пока за несколько дней до Рождества, и сейчас до сих пор не выплатили один исследователь безопасности вашего Mac, чтобы мои знания. Это шутка. Я думаю, что цель-просто держать исследователи спокойно об ошибках как можно дольше», — сказал Джонсон.

15 из 6

Далее

ПРЕД’

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *