Сегодня Apple запустила программу Security Research Device Program, чтобы помочь сторонним исследователям находить уязвимости в iPhone и iPad. Команда Google Project Zero заявляет, что не сможет использовать модифицированные устройства iOS, поскольку программа налагает ограничения, запрещающие раскрытие информации через 90 дней.
Project Zero широко известен обнаружением серьезных уязвимостей, но подвергается критике со стороны некоторых представителей отрасли за относительно быстрый период раскрытия информации. Команда Google публично детализирует проблему безопасности через 90 дней после ее частной отчетности, даже если она еще не исправлена. Эта жесткая позиция призвана стимулировать быстрое обновление для конечных пользователей.
Руководитель команды Project Zero Бен Хоукс сегодня днем написал в Твиттере об «ограничениях на раскрытие информации об уязвимостях» и о том, как это кажется «специально разработанным для исключения Project Zero и других исследователей, использующих 90-дневную политику».
На странице регистрации Security Research Devices (SRD) явно указано, что «Apple предоставит вам дату публикации (обычно дату выпуска обновления для устранения проблемы). Она может быть больше, чем обычный период раскрытия информации Project Zero, хотя команда в этом году начала испытание полного 90-дневного периода перед раскрытием уязвимостей».
Если вы сообщаете об уязвимости, затрагивающей продукты Apple, Apple предоставит вам дату публикации (обычно дату выпуска обновления для устранения проблемы). Apple добросовестно будет работать над устранением каждой уязвимости как можно скорее. До даты публикации вы не можете обсуждать уязвимость с другими.
Хоукс отмечает, что Google обратилась за «тестовым устройством для исследования безопасности еще в 2014 или начале 2015 года». В августе прошлого года Apple анонсировала эту программу на конференции Black Hat и сегодня открыла прием заявок. Эти специальные iPhone, имеющие доступ к командной строке и возможность запускать пользовательские инструменты, «предоставляются на 12-месячной возобновляемой основе и остаются собственностью Apple».
За этот период Google «сообщила Apple более 350 уязвимостей безопасности», и Project Zero продолжит эти исследования. Однако они «весьма разочарованы» тем, что не могут использовать SRD для своей работы. Как сообщили сегодня утром в 9to5Mac:
Доступ к «рутованному» оборудованию позволяет исследователям безопасности легче анализировать основные части операционной системы, что помогает выявлять эксплойты в ядре и других низкоуровневых областях операционной системы iOS.
В прошлом году Apple особенно обеспокоилась тем, что Project Zero назвал уязвимость iOS, нацеленную на уйгурскую общину, «одной из крупнейших атак на пользователей iPhone за всю историю».