苹果公司宣布将在2020年推出一款新的iPhone,蓝冠注册这款手机将只提供给特定的安全研究人员,同时向任何提醒苹果操作系统存在新漏洞的人提供巨额奖金。
可能是世界上最独家的iPhone
伊凡Krstić,苹果的安全工程负责人,提供见解大苹果的平台安全在演讲中,2019年在美国黑帽。
他承诺提供更大的漏洞奖励,并为选定的安全研究人员提供一款全新的“越狱前”iPhone,这款手机将于明年上市。
苹果安全主管解释说,苹果意识到很多安全专家想要检查蓝冠注册设备,但高度的保护使其成为一项耗时的任务。
这款越狱前的设备缺乏苹果iphone所具备的某些安全层,因此研究人员更容易探究这些系统的安全弱点。
iOS安全研究设备项目
该设备附带ssh、根shell和高级调试功能,将只对受邀参加苹果iOS安全研究设备计划的成员开放。
任何在任何平台上从事高质量系统安全研究的人都可以申请加入该项目,不过苹果将选择邀请谁。
类似的设备在苹果的工厂里被广泛用于测试和质量控制,这在安全研究人员、政府和其他人中间催生了一个黑市——他们经常被偷偷带出工厂出售。
其理念是,通过稍微开放该平台,安全专家将发现有必要对其进行漏洞调查,而此类设备的黑市将受到侵蚀。
你的安全是他们的事
苹果明白其平台安全的价值。它还认识到,安全研究是一项业务。
因此,鼓励研究人员披露公司发现的缺陷,而不是竞争对手或网络罪犯,是有意义的。考虑到这一点,苹果已经将最高奖金从20万美元提高到100万美元,并额外支付50%给那些在操作系统还处于测试阶段时就发现缺陷的研究人员。(该项目将于今年秋季开始。)
收费标准各不相同。
例如,一个锁定屏幕旁路将获得10万美元,用户数据提取将获得25万美元,而没有用户交互的网络攻击可以访问高价值的用户数据将为研究人员净赚50万美元。
虽然苹果的平台确实是高度安全的,但它们并不是无懈可击的,而且那些确实存在的缺陷在黑暗网络上收取了巨额费用。犯罪分子、政府和其他可疑组织将花费数百万美元来破解iphone、ipad和mac电脑。
希望通过提供更慷慨的奖金,苹果能从市场中去除一些迄今未知的缺陷,并更快地发现新的缺陷。
苹果公司向能够识别mac电脑、ipad、Apple TV、Apple Watch、iOS和iCloud安全漏洞的研究人员提供奖金。
为什么这是必要的?
一段时间以来,安全研究人员一直在敦促苹果扩大漏洞奖励计划。毕竟,苹果是在2016年才开始提供这种方案的,即便是在那时,也只是针对选定的研究人员,而且只针对iOS系统。
在黑帽的新闻发布会上,克里斯蒂克透露,苹果公司在提供漏洞奖励的三年中,已经发现了50个严重的漏洞。
苹果现在对所有研究人员的提交都是开放的,而不仅仅是它的邀请组。
将此视为苹果方面的又一重大举措是有道理的,它将反击那些利用其系统中的小漏洞追踪用户、窃取个人数据并破坏其他极端目的的安全的人。
最近几个月,有报道称iPhone遭到了一系列的攻击。
7月,谷歌Project Zero团队最初发现的6个关键安全漏洞在iOS 12.4中被修复;这些bug可以在没有用户交互的情况下在设备上远程执行。
今天更新你的设备
一般来说,围绕安全发布和黑帽(Black Hat)等重大网络安全事件不难发现规律。您几乎总是会看到平台安全补丁出现在事件之前,稍后还会出现另一个补丁,修补在展会上暴露的任何新漏洞。
至少在负责任的平台上是这样。
Black Hat发现了多个iOS漏洞,其中许多漏洞之前已经向苹果公司披露,并在iOS 12.4中进行了补丁。
目前90%的iOS设备都在运行iOS 12,我强烈建议所有iPhone、iPad或Mac用户尽快将自己的系统升级到最新版本的操作系统。
考虑到今年大量漏洞的性质,企业安全主管应该鼓励他们的IT支持团队加快批准最新的软件更新以便安装。