Apple komt met aangepaste iPhone voor beveiligingsonderzoek
Apple komt met een aangepaste iPhone voor beveiligingsonderzoek waar een selecte groep onderzoekers mee kan gaan testen, maar Google, verschillende onderzoekers en securitybedrijven zijn hier niet tevreden over.
Het Security Research Device van Apple moet onderzoekers een "gecontroleerde omgeving" voor beveiligingsonderzoek bieden. Zo hebben onderzoekers shelltoegang en kunnen ze elke willekeurige tool draaien voor het vinden van bugs. Om de aangepaste iPhone te kunnen onderzoeken stelt Apple echter verschillende voorwaarden. Zo zijn de apparaten, die eigendom van Apple blijven, alleen toegankelijk voor onderzoekers die een bewezen "track record" hebben met het vinden van kwetsbaarheden in producten van Apple of andere moderne besturingssystemen en platformen.
Wanneer onderzoekers een kwetsbaarheid in de SRD vinden moeten ze die snel aan Apple melden. Vervolgens zal Apple aan de onderzoeker laten weten wanneer het probleem wordt verholpen. Tot het verschijnen van de beveiligingsupdate mag de onderzoeker geen details over de kwetsbaarheid openbaar maken of met anderen delen.
Dit laatste punt is een spelbreker voor Google en andere onderzoekers en bedrijven die naar de veiligheid van Apples producten kijken. Google wist de afgelopen jaren meer dan 350 kwetsbaarheden in de producten van Apple te vinden. Het techbedrijf hanteert een deadline van negentig dagen voor het verhelpen van gerapporteerde beveiligingslekken.
Doordat Apple nu bepaalt wanneer een update verschijnt en een onderzoeker hierover mag publiceren, stelt Google dat het niet aan het programma kan deelnemen. Ook securitybedrijf ZecOps zegt vanwege de door Apple opgestelde regels geen gebruik van de aangepaste iPhone te zullen maken. Er zijn echter ook positieve reacties op het programma van Apple.
Had Apple niet ook gewoon een reward programma, of doe je daar niet meer aan mee als je zo’n speciaal geprepareerd apparaatje voor krijgt (nou ja, krijgt ... het blijft van Apple). Bedenkelijker vind ik dat Apple op deze manier kwetsbaarheden makkelijker onder de pet kan houden. Niet dat dat waarschijnlijk heel veel uitmaakt, want als één iemand een kwetsbaarheid kan vinden dan kan een ander dat ook.
En als je ondersoeker bent dan pak je toch liever een apparaatje wat je in de winkel kan kopen? Wie weet wat Apple met deze geprepareerde apparaten uithaalt.
Ik gebruik zelf Apple, maar heb nog nooit de behoefte gehad te jailbrake-n. Wat me opvalt is dat tegenwoordig meteen na beschikbaar komen van een nieuwe iOS-versie er alweer een jailbrake beschikbaar is. Valt het me nu meer op, of zijn jailbrakes tegenwoordig inderdaad sneller beschikbaar?
Nergens in het artikel wordt gerept over de beloning, ik vraag me echt af waarom dan wordt gedacht dat er geen verdienmodel is. Zeker als er slechts een selecte groep met bewezen track record aan mag werken, mag je er vanuit gaan dat dit soort mensen het niet voor niets doen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
