Ряд исследователей отказались от участия в новой программе Apple SRD
23 июля 2020 года
Несколько хорошо известных ИБ-сообществу исследователей безопасности, специализирующихся на поиске уязвимостей в iPhone, отказались от участия в новой программе компании Apple под названием Security Research Device (SRD). Причина отказа – строгие ограничения процедуры раскрытия уязвимостей, передающие весь контроль над раскрытием уязвимостей в руки Apple.
Говоря точнее, от участия в программе SRD отказались участники Project Zero (элитной команды Google по поиску уязвимостей), глава ИБ-компании Guardian Уилл Страфак (Will Strafach), ИБ-компания ZecOps, недавно раскрывшая серию серьезных атак на iOS-устройства, и автор iOS-джейлбрейка Checkm8 исследователь безопасности Axi0mX.
SRD – уникальная программа, аналогов которой среди производителей смартфонов не существует. В рамках программы Apple намерена предоставлять участникам новые версии iPhone до их поступления в продажу. Эти устройства будут иметь меньше ограничений и позволят исследователям глубже проникать в операционную систему и аппаратное обеспечение. Таким образом, у них будет больше возможностей для поиска уязвимостей по сравнению с обычными iPhone, в которых механизмы безопасности не позволяют исследовательским инструментам проникать глубже в ОС.
Apple впервые анонсировала SRD еще в декабре прошлого года, но запустила ее только сейчас. У SRD появился свой официальный сайт, а избранная группа исследователей получила от компании электронные приглашения пройти процедуру проверки, необходимой для получения тестовой версии iPhone.
Однако исследователей привел в замешательство тот факт, что Apple оставляет за собой полный контроль над раскрытием уязвимостей. «Если вы сообщаете об уязвимости в продуктах Apple, вам будет назначена дата публикации (как правило, это дата выхода обновления, исправляющего проблему). Apple будет добросовестно работать над устранением каждой уязвимости как можно скорее. До даты публикации вы не можете обсуждать уязвимость с другими», - гласит один из пунктов правил участия в программе SRD.
Этот пункт дает Apple полный контроль над процессом раскрытия уязвимостей. Он позволяет компании устанавливать дату, когда исследователям безопасности будет разрешено говорить или публиковать что-либо об уязвимостях, обнаруженных в iOS и iPhone в рамках программы. Неудивительно, что многих исследователей не устроило такое положение дел, и они отказались от участия в программе.
Источники править
Эта статья содержит материалы из статьи «Ряд исследователей отказались от участия в новой программе Apple SRD», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.