همانطور که سال گذشته قول داده شد ، اپل آیفون قابل هک کردن را فقط برای استفاده محققان امنیتی نخبگان منتشر کرده است. این آیفون ها از دفاعی iOS استاندارد خود برای غیرفعال کردن آسیب پذیری های امنیتی غیرفعال شده اند.
اپل برنامه دستگاه تحقیق امنیتی را راه اندازی کرد
آیفون های اپل از مدت ها پیش شهرت دارند که به شدت از منظر امنیتی قفل می شوند. این البته چیز بدی نیست ، زیرا باعث می شود بازیگران مخرب آیفون های مصرف کنندگان را هک کنند. با این حال ، این همچنین کشف محققان امنیتی آیفون ها برای آسیب پذیری های امنیتی را دشوار می کند ، زیرا از دید کمی در iOS برخوردار هستند. محققان برای به دست آوردن دید در iOS Apple اپل ، باید برای استفاده از ابزارهای فرار از زندان و شبیه سازهای iOS شخص ثالث متوسل شوند.
در نتیجه ، راه اندازی برنامه دستگاه تحقیقاتی امنیتی Apple (SRD) برنامه مورد انتظار جامعه تحقیقاتی بود. برنامه SRD اولین بار توسط کنفرانس هکرهای Black Hat سال گذشته در لاس وگاس توسط اپل اعلام شد. این سرانجام چند روز پیش ، در 22 ژوئیه به واقعیت تبدیل شد.
به عنوان بخشی از برنامه SRD ، محققان امنیتی اپل به آیفون های ویژه ای با نام Security Security Devices (SRDs) وام می گیرند. این دستگاه ها توسط محققان منحصراً برای تحقیقات امنیتی مورد استفاده قرار می گیرند و "با اجرای كدهای منحصر به فرد و خط مشی های مهار" همراه خواهند بود. این به این معنی است که محققان فقط به بخش های کاربرپسند سیستم عامل دسترسی خواهند داشت. محققان می ترسند که آنها به قابلیت اصلی iOS دسترسی نخواهند داشت.
آیفون Hackable چقدر باز خواهند شد؟
با راه اندازی برنامه SRD ، محققان برای اولین بار به دسترسی واقعی به IOS دسترسی خواهند داشت. از طریق شبیه سازهای iOS با این حال ، هنوز دقیقاً مشخص نیست که این دستگاه ها چه چیزی را اجازه می دهند. در اطلاعیه ای از طرف اپل آمده است كه "دسترسی شل در دسترس است ، و شما قادر خواهید بود هر ابزاری را اجرا كنید و حق خود را انتخاب كنید". به عبارت دیگر ، محققان قادر به اجرای کد در SRD هایی هستند که به طور معمول توسط IOS مسدود می شوند. همچنین به آنها این امکان را می دهد تا چگونگی تعامل برنامه های شخص ثالث با iOS را تجزیه و تحلیل کنند.
با این وجود ، SRD ها احتمالاً در هنگام کشف مشکلات امنیتی iOs کمک زیادی نخواهند کرد. دلیل این امر این است که محققان انتظار ندارند مثلاً به روشهای بوت شدن iOS دسترسی پیدا کنند. آنها انتظار ندارند که به سیستم عامل آیفون یا تراشه امنیتی سفارشی اپل دسترسی داشته باشند.
"به نظر می رسد دستگاه ها دسترسی نامحدودی را به محققان فقط به بخشی از iOS ارائه می دهند." "این شروع خوبی برای آسیب پذیری ها در برنامه ها و سرویس های کاربرپسند است که می توانند به راحتی در یک به روزرسانی iOS اصلاح شوند. اما به نظر می رسد آنها به عمد اجازه نمی دهند نوازش در مکانیسم های امنیتی سطح پایین تر ، که ممکن است اصلاح آن دشوارتر باشد باشد. "
چه کسی یک آیفون قابل حل را دریافت خواهد کرد؟
اپل فقط به محققان امنیتی نخبگان اجازه می دهد. در برنامه SRD آنها. این محققان دارای سابقه اثبات شده در یافتن مسائل امنیتی در سیستم عامل iOS و سایر سیستم عامل های اپل هستند. محققان همچنین باید در برنامه توسعه دهنده اپل حضور داشته باشند و در 12 ماه گذشته توسط اپل شاغل نبوده اند. علاوه بر این ، محدودیت هایی در رابطه با کشور مبدا و سن افراد پذیرفته شده در برنامه وجود دارد. افراد زیر 18 سال بعید است پذیرفته شوند.
افرادی که این برنامه را وارد برنامه می کنند ، یک سال SRD را از اپل وام می گیرند. با این وجود ، استفاده از SRD های وام گرفته شده به شدت کنترل می شود ، که استفاده آنها محدود به محل شرکت کنندگان در برنامه خواهد بود. علاوه بر این ، SRD ها نمی توانند توسط یک شرکت کننده در یک ظرفیت شخصی مورد استفاده قرار گیرند.
براساس توافق نامه وام ، به شرکت کنندگان امکان دسترسی به انجمن های امنیتی جدید متمرکز بر SRD ها فراهم می شود. علاوه بر این ، طبق این توافق نامه ، اگر شرکت کنندگان آسیب پذیری را با استفاده از SRD "پیدا کنند ، آزمایش کنند ، تأیید کنند ، تأیید کنند یا تأیید کنند" ، باید بلافاصله این موضوع را به اپل و هر شخص ثالث مربوطه گزارش دهند. پس از گزارش ، در این توافق نامه آمده است: "اپل تاریخ انتشار (معمولاً تاریخ انتشار اپل برای رفع مشکل) را به شما ارائه می دهد" و "با حسن نیت کار می کند" برای رفع این آسیب پذیری در اسرع وقت. بنابراین شرکت کنندگان ممنوع هستند که آسیب پذیری را تا تاریخ انتشار ارائه شده توسط اپل اعلام کنند. این به نوبه خود محققان را از مشارکت در این برنامه که از یک سیاست 90 روزه برای افشای آسیب پذیری ها استفاده می کنند ، محروم می کند.
نتیجه گیری
با توجه به محدودیت های آن ، برنامه جدید SRD اپل قرار نیست به محققان اجازه دهد تمام خصوصیات و امنیت سیستم عامل iOS را کشف کنند. مسائل همچنین به آنها اجازه نمی دهد تا اپل را در رفع این مشکلات کمک کنند. با این حال ، با توجه به محدودیت هایی که در گذشته توسط محققان روبرو بوده است ، این برنامه به عنوان یک قدم مهم در پیش رو مشاهده می شود. هر چیزی که بینش بیشتری در مورد عملکرد iOS اپل ارائه دهد ، توسط محققان امنیتی گامی در جهت درست است.
