Команда проекта Google в ноль не применяя программы СРД компании Apple
Изображения: Яблоко
особенность
Защита Мобильного Предприятия
Мобильные устройства продолжают свое шествие к тому, чтобы стать мощной производительности машины. Но они также являются одним из основных рисков безопасности, если им не управлять должным образом. Мы смотрим на последний мудрости и рекомендации по обеспечению безопасности мобильных сотрудников.
Подробнее
Некоторые из самых больших имен в области проведения исследований по уязвимости iPhone уже сегодня объявила о планах пропустить новые исследования защитного устройства от Apple программа (СРД) из-за ограничительных правил компании Apple, связанные с процессом раскрытия уязвимости, которые эффективно намордники исследователей в области безопасности.
Список включает в себя проект Ноль (Гугл элиты ОС команда), утверждается (генеральный директор мобильной безопасности компания Гардиан), ZecOps (мобильной охранной фирмы, которые недавно обнаружили серию атак на iOS), и Axi0mX (в iOS уязвимость исследователь и автор Checkm8 прошивкой использования).
Что такое программа СРД Яблоко
Исследование устройства безопасности программы (ППУ) является уникальной среди производителей смартфонов. В рамках программы СРД, компания Apple пообещала обеспечить предварительной продаже айфонов для исследователей безопасности.
Эти iPhones являются модифицированными, имеют меньше ограничений и позволяют глубже открыть для операционной системы iOS и устройства оборудования, поэтому исследователи в области безопасности может проверить на ошибки, которые они обычно не были бы в состоянии обнаружить на стандартных айфонов, где телефон по умолчанию функции безопасности, предотвращения защиты от видя глубже в трубку.
Apple официально объявила о программе нич в декабре 2019 года, когда компания также расширила свои программы ошибка щедрости включать больше своих операционных систем и платформ.
Однако, в то время как компания продемонстрировала в прошлом году, он не был до сегодня, что Apple, на самом деле, запустили его, опубликовав официальный СРД сайт и по электронной почте некоторые исследователи в области безопасности и ошибка охотников пригласить их применять для процесса проверки необходимо получить отвязанный айфон.
Новые строгие правила
Этот новый веб-сайт также содержит официальные правила программы СРД, которую исследователи в области безопасности не было возможности рассмотреть в мельчайших подробностях.
Но в то время как сообщество безопасности встретили в прошлом году объявление СРД Apple с радостью, считая его первым шагом в правильном направлении, они не очень счастливы с Apple.
По жалобам на социальных медиа, это было одно конкретное предложение, которое втирают большинство исследователей безопасности неправильно:
«Если вы сообщаете об уязвимостях продуктов Apple, компания Apple предоставит дату публикации (обычно дата, на которую Apple выпустила обновление для устранения проблемы). Apple будет работать в духе доброй воли для устранения каждой уязвимости, как только практично. До даты публикации, вы не можете обсуждать эту уязвимость с другим».
Предложение эффективно позволяет Apple, чтобы морда исследователей в области безопасности.
Предложение дает Apple полный контроль над процессом раскрытия уязвимости. Это позволяет производителю iPhone установить дату публикации, когда исследователи безопасности разрешается говорить или публиковать что-либо об уязвимости они обнаружили в iOS и iPhone, в то время как часть программы нич.
Многие исследователи безопасности теперь боятся, что Apple будет злоупотреблять этим пунктом, чтобы откладывать важные патчи и затягивал столь необходимые доставки обновлений безопасности, отложив даты публикации, после чего они позволили говорить об iOS ошибки.
Другие боятся, что Apple будет использовать этот пункт, чтобы заставить замолчать свою работу и не допустить их даже публикации о своей работе.
Проект Zero и другие решают не применять
Первым заметил этот пункт и понять его последствия был Бен лоточников, проект Google нулевые команды.
«Похоже, мы не сможем использовать яблоко ‘безопасности прибора из-за уязвимости раскрытие ограничений, которые, кажется, специально разработаны для исключения проекта Ноль и других исследователей, которые используют 90-дневный политику», — Хоукс сказал на Twitter сегодня.
Хоукс твит получила большое внимание в обществе защиты информации, и другие исследователи в области безопасности только после решения команды. Выступая с ZDNet сестра-сайт Cnet, будет утверждается также сказал, что он не будет вступать в программу, потому что в этом же пункте.
На Twitter, кибер-безопасности фирма ZecOps также объявила, что будет пропускать программа СРД и продолжить взлом айфонов старым добрым способом.
ZecOps не будет использовать «специальный научно-исследовательский аппарат», выпущенный @Яблока из-за ограничений программы и минимальные льготы. Мы будем продолжать сообщать об ошибках в Apple, потому что это правильно делать.
Вместо того, чтобы выпустить специальный научно-исследовательский устройстве, мы поддерживаем Apple, чтобы …
— ZecOps (@ZecOps) 22 Июля 2020 Года
В разговоре с ZDNet, исследователь безопасности Axi0mX сказал, что они думали о том, что не принимала участие.
«Сроки раскрытия информации является стандартной практикой в отрасли. Они необходимы», — сказал ученый.
«Яблоко требует от исследователя ждать неограниченное количество времени, по усмотрению компании Apple, прежде чем они смогут раскрыть какие-либо ошибки, найденные с программой исследования устройства безопасности. Нет крайнего срока. Это ядовитая пилюля», — добавил он.
Алекс Стамос, Facebook бывший начальник информационной безопасности сотрудников, также раскритиковал компании Apple, который был частью более масштабного решения компании предприняло в последние месяцы на кибер-безопасности и уязвимости научного сообщества, — которые также включены в иск против мобильного устройства виртуализации компании, что способствует безопасности исследователи отследить прошивкой баги.
Если Apple выиграет этот бой (который включает в их иске против платформ виртуализации), то мы можем поцеловать впечатляющие исследования общественной безопасности в нам на прощание. Только участники частная головами и иск-доказательства зарубежные супостаты смогут сделать работу безопасности ОС.
— Алекс Стамос (@alexstamos) 22 июля, 2020
Одно дело видеть без имени эксперты по безопасности соединиться с программу безопасности, но это другое дело увидеть самых больших имен в индустрии атакующая.
Программы безопасности Apple не очень хорошо просматривается
Опасения, что Apple может злоупотреблять правилами программы СРД похоронить важная iOS баги и исследования оправданы, для тех, кто последовал за рекламным от Apple. Компания Apple была обвинена в тот же практике раньше.
В серии твитов, опубликованных в апреле, macOS и iOS разработчика Джефф Джонсон напал на компанию за то, что не достаточно серьезно относится к своим обязанностям безопасности.
«Я подумываю о выходе из программы Баунти безопасности Apple», — сказал Джонсон. «Я не вижу никаких доказательств, что Apple серьезно относится к программе. Я слышал только 1 выплата за головами, и ошибка даже не характерные для компьютеров Mac. Кроме того, безопасность продуктов Apple проигнорировала мое последнее письмо к ним в течение недели.
«Apple анонсировала программу в августе, не открывал ее, пока за несколько дней до Рождества, и сейчас до сих пор не выплатили один исследователь безопасности вашего Mac, чтобы мои знания. Это шутка. Я думаю, что цель-просто держать исследователи спокойно об ошибках как можно дольше», — сказал Джонсон.
1 — 5 из 6
Далее
ПРЕД’