Ngày hôm nay, Apple đã tuyên bố rằng từ ngày hôm nay đến ngày 31 tháng 10, công ty sẽ mời các nhà nghiên cứu bảo mật ứng dụng cho Chương trình Thiết bị Nghiên cứu Bảo mật iPhone 2024 (SRDP) để “khởi động nghiên cứu iPhone của họ, làm việc cùng đội ngũ bảo mật của chúng tôi để bảo vệ người dùng và đủ điều kiện nhận phần thưởng Apple Security Bounty.”
“Kể từ khi chúng tôi ra mắt chương trình vào năm 2019, các nhà nghiên cứu SRDP đã phát hiện ra 130 lỗ hổng có tác động cao, quan trọng về bảo mật và những hiểu biết của họ đã giúp chúng tôi triển khai các biện pháp giảm nhẹ mới để bảo vệ nền tảng của chúng tôi,” Apple nói. “Chỉ trong vòng sáu tháng qua, họ đã nhận được 37 điểm CVE cho những phát hiện của mình và công việc của họ đã trực tiếp đóng góp vào cải thiện bảo mật ở các lĩnh vực như hạt nhân XNU, tiện ích mở rộng hạt nhân và dịch vụ XPC xung quanh hệ thống.”
Các vấn đề bảo mật được tìm thấy trên Thiết bị Nghiên cứu Bảo mật cũng đủ điều kiện nhận phần thưởng Apple Security Bounty. Apple cho biết đã trao thưởng cho hơn 100 báo cáo từ các nhà nghiên cứu SRDP, với nhiều giải thưởng lên đến 500.000 đô la và giải thưởng trung bình gần 18.000 đô la.
Ngoài các tính năng khác, các nhà nghiên cứu có thể sử dụng Thiết bị Nghiên cứu Bảo mật để:
– Cài đặt và khởi động bộ nhớ kernel tùy chỉnh;
– Chạy mã tùy ý với các đặc quyền cho dù là nền tảng và root ngoài tầm kiểm soát;
– Đặt các biến NVRAM;
– Cài đặt và khởi động firmware tùy chỉnh cho Secure Page Table Monitor (SPTM) và Trusted Execution Monitor (TXM), mới trong iOS 17.
Ngay cả khi những lỗ hổng được báo cáo đã được vá, SRD vẫn cho phép tiếp tục nghiên cứu bảo mật trên một thiết bị đã được cập nhật. Tất cả các thành viên của SRDP được khuyến khích đặt câu hỏi và trao đổi phản hồi chi tiết với các kỹ sư bảo mật của Apple.
Mỗi năm, Apple chọn một số giới hạn nhỏ các nhà nghiên cứu bảo mật để nhận một SRD thông qua quy trình đăng ký dựa chủ yếu vào lịch sử nghiên cứu bảo mật, bao gồm trên các nền tảng khác iPhone. Công ty công nghệ cũng cung cấp SRD cho các giảng viên được chọn ở mức đại học muốn sử dụng nó như một công cụ giảng dạy để giới thiệu cho sinh viên ngành khoa học máy tính về nghiên cứu bảo mật. Giáo viên có thể yêu cầu ủy quyền nhiều người dùng sử dụng trong lớp học hoặc phòng thí nghiệm của mình.
Đơn đăng ký trực tuyến của Apple sẽ mở đến ngày 31 tháng 10. Công ty cho biết sẽ xem xét tất cả các đơn đăng ký vào cuối năm và thông báo cho các thí sinh được chọn vào đầu năm 2024. Để biết thêm thông tin về điều kiện đủ để tham gia chương trình và đăng ký một Thiết bị Nghiên cứu Bảo mật, truy cập https://security.apple.com/research-device.
#Apple #SRDP #SecurityResearchDevice #SecurityResearch #AppleSecurityBounty #iPhone #research #security #application #technology #event #news
Apple has announced that through October 31, the company is inviting security researchers to apply for the 2024 iPhone Security Research Device Program (SRDP) to “jump-start their iPhone research, work with our security teams to help protect users, and qualify for Apple Security Bounty rewards.”
“Since we launched the program in 2019, SRDP researchers have discovered 130 high impact, security-critical vulnerabilities and their insights have helped us implement novel mitigations to protect our platforms,” Apple says. “In just the past six months, they’ve received 37 CVE credits for their findings, and their work has directly contributed to security improvements in areas such as the XNU kernel, kernel extensions, and XPC services around the system.”
Security issues that are found with a Security Research Device are also eligible for Apple Security Bounty. Apple says it’s rewarded over 100 reports from our SRDP researchers, with multiple awards reaching $500,000 and a median award of nearly $18,000.
Among other features, researchers can use a Security Research Device (SRD) to:
° Install and boot custom kernel caches;
° Run arbitrary code with any entitlements, including as platform and as root outside the sandbox;
° Set NVRAM variables;
° Install and boot custom firmware for Secure Page Table Monitor (SPTM) and Trusted Execution Monitor (TXM), new in iOS 17.
Even when reported vulnerabilities are patched, the SRD makes it possible to continue security research on an updated device. All SRDP participants are encouraged to ask questions and exchange detailed feedback with Apple security engineers.
Each year, Apple selects a limited number of security researchers to receive an SRD through an application process that’s primarily based on a track record in security research, including on platforms other than iPhone. The tech giant is also making SRDs available to select educators at the university level who would like to use it as a teaching tool to introduce computer science students to security research. Educators can request to authorize multiple users for use in their classroom or lab.
Apple’s online application is open until October 31. The company says it will review all submissions by the end of the year and notify selected participants in early 2024. To learn more about program eligibility and apply for a Security Research Device, visit https://security.apple.com/research-device.
[ad_2]