Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

iPhones mit Jailbreak direkt von Apple: Sicherheitsforscher bekommen nun spezielle Geräte

Komplexe Betriebssysteme bieten eine große Angriffsfläche: Viele laufende Dienste könnten durch speziell präparierte Aufrufe oder Nachrichten ausgenutzt werden, um Sicherheitsvorkehrungen zu überwinden. Zwischen den Herstellern und Hackern findet ein ewiger Kampf statt: Hacker suchen ständig nach neuen Angriffsvektoren und Hersteller versuchen, diese zeitnah zu beseitigen. Als einer der letzten Hersteller legte Apple im Jahr 2016 ein "Bug Bounty Program" auf, über welches Sicherheitsforscher und Hackern eine Belohnung zusteht, wenn sie Angriffsmöglichkeiten an Apple melden – vor einem Jahr erhöhte Apple die Prämien auf maximal 1,5 Millionen Dollar pro Schwachstelle.


Normalerweise gibt Apple nur Geräte heraus, bei denen die Sicherheitsvorkehrungen aktiviert sind. Diese sind allerdings für Sicherheitsforscher hinderlich, da so kein tieferer Einblick in iOS möglich ist. Oftmals ergeben sich nur dann Angriffsvektoren, wenn man mit einem völlig ungesicherten Gerät experimentieren kann. Von Zeit zu Zeit gelangen Vorserienmodelle oder Testexemplare ans Tageslicht – diese sind für Sicherheitsforscher wie auch für Hacker sehr interessant, da hier häufig einige Sicherheitsmechanismen noch nicht in Kraft sind.

Apple Security Research Device Program
Apple gab nun bekannt, Sicherheitsforschern zukünftig entsperrte Geräte zur Verfügung zu stellen. Wer sich bewirbt und von Apple akzeptiert wird, erhält ein "Security Research Device", auf welchem eine ungesicherte Version von iOS läuft und andere Schutzmaßnahmen deaktiviert sind – ansonsten soll sich das Gerät ähnlich wie ein normales iPhone verhalten. Um welches Gerät es sich hier genau handelt, lässt Apple bei der Beschreibung des neuen Programms offen.

Nutzer haben auf diesem Gerät vollständigen Shell-Zugriff und können die Entitlements von ausführbarem Code frei festlegen – hierbei handelt es sich um Einschränkungen, was ein Programm darf und was nicht.

Strenge Vorgaben
Wer nun hofft, als selbsternannter Sicherheitsforscher ein entsperrtes iPhone zu ergattern, wird wahrscheinlich kein Glück haben: Die Richtlinien scheinen recht streng zu sein. Als erstes muss man Mitglied in Apples Entwicklerprogramm sein. Viel schwieriger wird es aber, den zweiten Punkt zu erfüllen: Man ist gezwungen, nachweisen zu können, bereits Lücken in Apple-Produkten oder auf anderen Plattformen gefunden zu haben. Ferner muss man aus einem Land kommen, in welchem Apples Security Research Device Program verfügbar ist – Deutschland, Österreich und die Schweiz finden sich auf der Liste wieder.


12 Monate Leihgabe
Über Preise ist nichts in der Programm-Beschreibung zu finden – daher kann man davon ausgehen, dass keine Kosten für die Sicherheitsforscher entstehen. Aber es handelt sich bei den Geräten nur um Leihgaben – nach 12 Monaten müssen diese zurückgegeben werden, wenn man nicht erneut an dem Programm teilnimmt und akzeptiert wird. Ferner verpflichtet man sich, die gefundenen Bugs an Apple zu melden – und darf diese erst nach einer von Apple gesetzten Frist veröffentlichen.

Wurde der Bewerbung stattgegeben, darf das Gerät allerdings nicht frei mitgenommen werden – es muss auf dem Firmengelände verbleiben und nur von Apple autorisierte Personen dürfen auf das "Security Research Device" zugreifen.

Kommentare

Floki
Floki23.07.20 11:14
Zitat:
Wurde der Bewerbung stattgegeben, darf das Gerät allerdings nicht frei mitgenommen werden – es muss auf dem Firmengelände verbleiben und nur von Apple autorisierte Personen dürfen auf das "Security Research Device" zugreifen.

Ab da bekam ich einen "Lachanfall" .... 🙈
-1
Mendel Kucharzeck
Mendel Kucharzeck23.07.20 11:32
Floki
Warum?
+1
Floki
Floki23.07.20 11:44
Mendel Kucharzeck
Floki
Warum?

Ernsthaft die Frage?
Die Leute die sich mit der Materie beschäftigen sind "weltweit" verstreut, wer soll da zu Apple gehen um an einem popligen iPhone rumzuspielen? Wird nicht die "große Masse" sein.

Nur meine bescheidene Meinung
0
Nekron23.07.20 11:51
Floki
Mendel Kucharzeck
Floki
Warum?

Ernsthaft die Frage?
Die Leute die sich mit der Materie beschäftigen sind "weltweit" verstreut, wer soll da zu Apple gehen um an einem popligen iPhone rumzuspielen? Wird nicht die "große Masse" sein.

Nur meine bescheidene Meinung

Auf dem Firmengelände des Sicherheitsunternehmens, nicht bei Apple auf dem Gelände.
+2
Mendel Kucharzeck
Mendel Kucharzeck23.07.20 12:07
Nekron
Danke für die Aufklärung...hätte nicht gedacht, dass man das anders verstehen kann.
+1
ruphi
ruphi23.07.20 15:39
Mendel Kucharzeck
Nekron
Danke für die Aufklärung...hätte nicht gedacht, dass man das anders verstehen kann.
ich auch nicht ^^
0
sierkb23.07.20 16:37
Golem (23.07.2020): iOS: Apple verteilt offene iPhones an Sicherheitsforscher
Im Rahmen eines speziellen Programms können Experten ein offenes iPhone von Apple erhalten, um Sicherheitslücken zu finden.
Golem, 23.07.2020
[…]

Nachtrag vom 23. Juli 2020, 14:45 Uhr

Wie ZDNET meldet , wollen zahlreiche Sicherheitsforscher nicht am SRD-Programm teilnehmen, darunter auch Googles Project Zero. Als Grund geben sie an, dass Apple den Veröffentlichungsprozess der gefundenen Schwachstellen uneingeschränkt selbst kontrollieren wolle.

ZDNet (22.07.2020): Google's Project Zero team won't be applying for Apple's SRD program
Other security researchers have expressed similar intentions to skip the Apple SRD program after the program rules give Apple full control of the vulnerability disclosure process.

ZDNet.de (23.07.2020): Apple öffnet iOS für Sicherheitsforscher
Es stellt im Rahmen des Security Research Device Program spezielle iPhones zur Verfügung. Sie bieten Sicherheitsforschern einen Shell-Zugang. Einige Forscher, darunter auch Googles Project Zero, kritisieren Apples strenge Regeln und fühlen sich dadurch ausgeschlossen.
0
EThie23.07.20 17:10
Floki
Mendel Kucharzeck
Floki
Warum?

Ernsthaft die Frage?
Die Leute die sich mit der Materie beschäftigen sind "weltweit" verstreut, wer soll da zu Apple gehen um an einem popligen iPhone rumzuspielen? Wird nicht die "große Masse" sein.

Nur meine bescheidene Meinung

Das habe ich beim Lesen des Textes zuerst auch gedacht.

EThie
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.