0
0
A Apple está convidando pesquisadores de segurança a se inscreverem novamente em seu Programa de Dispositivos de Pesquisa de Segurança (SRDP), para descobrir vulnerabilidades e ganhar recompensas por bugs.
A Apple iniciou o Apple SRDP em 2019. Nos anos seguintes, os pesquisadores participantes identificaram 130 vulnerabilidades críticas de segurança e ajudaram indiretamente a Apple a implementar melhorias de segurança no kernel XNU, extensões de kernel e serviços XPC em todo o sistema.
Um iPhone personalizado projetado para pesquisas de segurança
O Security Research Device (SRD) é uma variante de hardware especialmente construída do iPhone 14 Pro, com ferramentas e opções que permitem aos pesquisadores configurar ou desabilitar muitas proteções de segurança avançadas do iOS.
Os pesquisadores podem instalar e inicializar caches de kernel personalizados, executar código arbitrário, iniciar serviços na inicialização, persistir conteúdo durante reinicializações e muito mais.
“Com este dispositivo, um pesquisador pode carregar conteúdo que é executado com permissões equivalentes à plataforma e, assim, realizar pesquisas em uma plataforma que modele mais de perto a dos dispositivos de produção”, observa a empresa.
“Para ajudar a garantir que os dispositivos dos usuários não sejam afetados pela política de execução de dispositivos de pesquisa de segurança, as mudanças na política são implementadas em uma variante do iBoot e na coleção Boot Kernel.”
É claro que o dispositivo SRP não se destina ao uso regular e ao transporte – entre outras coisas, o dispositivo só é iniciado durante o carregamento. Também não pode ser confundido com um dispositivo de usuário comum, uma vez que as palavras Security Research Device são exibidas com destaque no próprio dispositivo e na tela de bloqueio, durante a inicialização do iBoot, etc.
Os problemas de segurança relatados serão elegíveis para prêmios do Apple Security Bounty.
Como aplicar?
“A cada ano, selecionamos um número limitado de pesquisadores de segurança para receber um SRD por meio de um processo de inscrição que se baseia principalmente em um histórico em pesquisa de segurança, inclusive em outras plataformas além do iPhone”, explicou a equipe de Engenharia e Arquitetura de Segurança da Apple.
“Também estamos disponibilizando SRDs para educadores selecionados de nível universitário que gostariam de usá-los como uma ferramenta de ensino para apresentar aos estudantes de ciência da computação a pesquisa em segurança. Os educadores podem solicitar a autorização de vários usuários para uso em sala de aula ou laboratório.”
Os aspirantes a participantes podem se inscrever no programa até 31 de outubro de 2023. Os participantes selecionados serão notificados no início de 2024.
“Se o seu pedido for aprovado, forneceremos a você um SRD como um empréstimo renovável de 12 meses. Durante esse período, o dispositivo permanecerá propriedade da Apple”, esclarece a empresa.
FONTE: HELP NET SECURITY