Apple宣布了一个新的iPhone(你不能拥有它)
苹果公司已宣布为2020年的新iPhone,但它只向选择的一组安全研究人员提供 - 以及任何提醒公司以新的OS漏洞的人都凭借巨大的赏金。
可能是世界上最独特的iPhone
Apple的安全工程负责人IvanKrstić在2019年黑色帽子的演讲中为Apple的平台安全提供了大见解。
他向明年提供的选定安全研究人员提供了更大的Bug Bounter和独家新的“越狱”iPhone。
Apple安全主任解释说,苹果意识到大量的安全专业人士希望检查其设备,但高度的保护使其成为耗时的任务。
越狱前的设备缺少iPhone周围的一些安全苹果涂料层,因此研究人员更容易探索这些安全弱点的系统。
iOS安全研究设备计划
设备使用SSH,根外壳和高级调试功能船舶,并将可用于邀请Apple IOS安全研究设备程序的邀请成员。
任何具有高质量系统安全研究的轨道记录的任何平台都可以应用于加入该程序,但Apple将选择IT邀请谁。
类似的设备广泛应用于苹果公司的测试和质量控制的工厂,这些设备在安全研究人员,政府和其他人中产生了黑色市场 - 它们往往从工厂中充满销售。
这个想法是,通过开辟平台一点,安全优势将发现探讨漏洞和这种设备的黑色市场值得侵蚀。
您的安全是他们的业务
Apple了解其平台上的安全价值。它还认识到安全研究是一项业务。
因此,激励研究人员披露公司的缺陷,而不是竞争对手或网络罪犯是有意义的。考虑到这一点,苹果公司将其最高赏金从200,000美元提高到100万美元,其中额外的50%支付给识别缺陷的研究人员,而操作系统仍在测试中。(该计划开始于此秋季。)
费用规模不同。
例如,锁屏旁路将获取$ 10,000,用户数据提取$ 250,000,而无需用户交互的网络攻击,可以访问高价值用户数据将净收入500,000美元。
虽然Apple的平台是非常安全的,但它们并不是无懈可击的,并且那些确实存在在黑网上的巨额费用的缺陷。犯罪分子,政府和其他可疑团体将花费数百万美元闯入iPhone,iPads和Mac。
希望如此,通过提供更慷慨的赏金,苹果将采取一些迄今为止未知的缺陷,更快地了解新的缺陷。
Apple正在为能够识别Mac,iPad,Apple TV,Apple Watch,iOS和Icloud的安全缺陷的研究人员提供赏金。
为什么这是必要的?
安全研究人员一直迫使Apple升级其Bug Bounty方案一段时间。毕竟,Apple仅在2016年开始提供这样的计划,甚至只能为选择的研究人员,而且仅适用于IOS。
在黑帽的简报期间,Kristic揭示了苹果在三年内学到了50个严重漏洞,它提供了一个错误赏金。
Apple现在可以向所有研究人员提交的提交,而不仅仅是其邀请的集团。
将此与Apple的部分踢回那些在其系统中以追踪用户进行跟踪用户,exfiltrate个人数据和破坏其他令人震惊的目的的安全性的人来说是一个有意义的。
最近几个月报道了一串野外的iPhone漏洞。
7月,谷歌项目零队发现的六个严重安全漏洞在IOS 12.4中被修补;这些包含在没有用户交互的设备上远程执行的错误。
立即更新您的设备
作为一般规则,不难发现安全发布和黑色帽子这样的主要网络安全事件的模式。您几乎总是看到平台安全补丁在稍后再次出现之前出现了平台安全补丁,修补了在节目中暴露的任何新鲜漏洞。
这至少是负责任平台的情况。
黑色帽子看到了多种IOS漏洞,其中许多以前披露于Apple并在iOS 12.4中修补。
凭借90%的IOS设备现在正在运行iOS 12,我会敦促任何iPhone,iPad或Mac用户,尽快将其系统升级到最新版本的操作系统。
鉴于今年脆弱性的性质,企业安全院长应鼓励其支持团队加快批准安装最新的软件更新。
请在Twitter上关注我,或者在Appleholic的酒吧和烤架和苹果讨论团体上加入我。