iPhone 15公布在即,蘋果再次強調iPhone的安全性,昨(30)日公布過去4年來,蘋果在和安全研究人員合作下,修補了iPhone超過130項重大漏洞。
蘋果從2019年起,在安全研究裝置方案(Security Research Device Program)下提供特別準備的iPhone給參與計畫的研究人員,允許他們找出iOS安全漏洞而無需苦苦繞過種種安全防護。最重要的是,在這計畫下通報的任何漏洞,都會列入蘋果安全獎勵方案給予獎金。蘋果指出,自4年前推行以來,SRDP研究人員共發現130項高影響性的重大安全漏洞,研究發現使蘋果得以實作緩解方案以保護iOS平臺。單單在過去6個月內,研究人員發現就有36項列為漏洞,受影響元件涵括XNU核心、核心擴充程式、XPC服務。
有些在本方案找到的安全漏洞也拿到了蘋果頒發的抓漏獎勵。歷來透過SRDP,蘋果共針對100多項漏洞頒發50萬美元獎金,獎金中位數約為1.8萬美元。
今年SRDP計畫又開始了。今年SRDP的核心主體是一為安全研究特製的iPhone 14 Pro,加上一些相關工具,供研究人員可以使用,他們可以選擇任何策略來設定或關閉iOS的進階安全防護,這些防護在平常iPhone上是不可能為一般用戶關閉的。
在這項方案中,蘋果允許研究人員安裝和啟用核心快取、以任何權限執行任意程式碼,包括以平臺或以根權限。他們也可以設定SNVRAM變項、安裝和啟動iOS 17上的SPTM(Secure Page Table Monitor)及TXM(Trusted Execution Monitor)。而即使一些通報的漏洞已經先行修補過,參與者仍然可以在特製的iPhone上持續其研究。
每年他們會根據過去在iPhone以外的研究成果邀請一些安全研究人員加入SRDP,寄發這些特製iPhone,也讓大學教師參與本計畫作為電腦資安教學之用。老師可申請授權,以便在課堂或實驗室使用這些iPhone。
今年SRDP即日起接受報名至10月31日為止。有意參加者可透過報名網址報名,蘋果會在今年年底前審查所有提交的研究報告,並在2024年初通知優異的參賽者。
熱門新聞
2024-12-03
2024-11-29
2024-12-02
2024-12-02
2024-12-03