蘋果推白帽駭客專用機 iPhone 出借,提高抓蟲效率

不過蘋果似乎排除掉了Google Project Zero,主要是因為在「三個月揭露大限」的差異。
評論
Reuters/達志影像
Reuters/達志影像
評論

為了解決 iPhone 上 iOS 的各種安全漏洞問題,蘋果在最新安全研究設備計畫(Apple Security Research Device Program)中加入一項方案,徵求更多人員幫助 iPhone  抓蟲。

根據蘋果 Apple developer 網站公布資訊,符合資格的安全研究人員可以透過網站申請安全研究設備(Security Research Device),專用於安全性研究的 iPhone,具有獨特程式碼執行,研究人員每次出借時間為 12 個月,提供續借服務。

蘋果強在計劃中強調這些 iPhone 並不是提供給個人做為日常外出使用手機,因此不可將手機攜帶出住所,須經蘋果授權的人員才可以使用這些安全研究用機台。

螢幕快照_2020-07-23_下午1_47_26
蘋果推出安全研究設備計畫

蘋果為什麼要推出安全研究專用機?

iPhone 安全機制的雙面刃,蘋果對 iOS 以及應用程式的安裝都有嚴格的控管,雖然可以嚴加防止惡意軟體滲透到其軟體生態系統中,然而,相對的這樣封閉式生態系統會使安全研究人員難以分析 iOS 的漏洞。

去年,蘋果首度全面開放安全研究人員參與該公司的抓漏獎金計畫,計畫也擴大至 tvOS,iPadOS,watchOS 和 macOS,獎金從 2.5 萬美元到 100 萬美元不等,如今,透過安全研究設備(Security Research Device)更進一步提高安全研究的效率。

參與的研究人員可在 iPhone 擁有作業系統外層訪問權限,在機台上可在不同程度的安全性許可下執行 PC 程式碼,這些研究人員使用安全計畫提供的 iPhone 後,一旦發現漏洞可以直接向蘋果提高報告,如果該漏洞位於第三方程式碼中,也會立即提交報告給對應的第三方。

至於修復漏洞的時程,蘋果並無設定明確時間,僅表示將會盡快以具體的方式進行修復,並提供修復後新版本的發布日期。特別注意的是,在漏洞修復以前安全研究人員必須對「漏洞保密」。

排除 Google?Project Zero 負責人有話要說

Google 旗下也有類似的計畫,比如成立於 2014 年的資安團隊 Google Project Zero,此團隊專門找出各種軟體的安全漏洞,特別是可能會導致零時差攻擊者,不過在 Google 的計畫中與蘋果的運作有些不同,主要在「三個月揭露大限機制」上的差異。

在 Google Project Zero 中,人員找出安全漏洞會即時通知受影響軟體的開發者,在開發者還沒修補此漏洞前,不會對外公布, 而在 90 天之後,不論原開發者是否修復漏洞,都會自動公開提醒用戶以免受到威脅,而蘋果則沒有這項機制。

也因此,Ben Hawkes 在推特中發表評論表示,「由於漏洞揭露受到限制,Google 安全小組似乎無法使用此 Apple 的安全研究設備(Security Research Device)進行研究。」不過,Hawkes 補充。即便沒有提供專用設備, Project Zero 將繼續檢查 Apple 的軟體平台是否存在安全漏洞。

Hawkes 表示,過去在沒有專用的 iPhone 下,他們仍發現蘋果上許多漏洞,在 2014 年到 2015 年時,就開始向要求蘋果提供安全研究測試設備。時至今日已經向蘋果提交 350 多個安全漏洞。

核稿編輯:Mia

延伸閱讀: