#Apple mở đăng ký ứng dụng cho iPhone nghiên cứu bảo mật vào năm 2024
Hôm nay, Apple đã thông báo rằng các nhà nghiên cứu về bảo mật iOS hiện đã có thể đăng ký nhận Thiết bị Nghiên cứu Bảo mật (SRD) cho đến cuối tháng 10.
Các SRD là iPhone 14 Pro được tắt chức năng bảo mật và cung cấp quyền truy cập shell, giúp cho việc nghiên cứu lỗ hổng có thể được thực hiện trên một nền tảng bị khóa khác.
Theo Apple, đây là “một phiên bản phần cứng đặc biệt” của các thiết bị sẵn sàng cho người dùng thông thường, cung cấp cho các nhà nghiên cứu các công cụ cần thiết để vô hiệu hóa các phần cứng bảo mật tích hợp sẵn trên iOS.
“Truy cập shell đã có sẵn, và bạn có thể chạy bất kỳ công cụ nào, lựa chọn quyền của riêng bạn và thậm chí tùy chỉnh kernel”, Apple cho biết.
“Ngoài ra, bất kỳ lỗ hổng nào bạn khám phá được với SRD đều được tự động xem xét cho Phần thưởng Bảo mật của Apple”.
Nếu nhận được SRD dưới dạng một khoản cho vay có thời hạn là 12 tháng có thể gia hạn, các nhà nghiên cứu có thể sử dụng nó để:
– Cài đặt và khởi động kernel cache tùy chỉnh.
– Chạy mã tùy ý với bất kỳ quyền hạn nào, bao gồm cả quyền hạn của nền tảng và quyền hạn root bên ngoài sandbox.
– Thiết lập biến NVRAM.
– Cài đặt và khởi động firmware tùy chỉnh cho Secure Page Table Monitor (SPTM) và Trusted Execution Monitor (TXM), mới trong iOS 17.
Công ty cũng cho biết rằng các iPhone được cung cấp thông qua Chương trình Thiết bị Nghiên cứu Bảo mật chỉ nên được sử dụng bởi những người được ủy quyền và không bao giờ rời khỏi cơ sở nghiên cứu bảo mật.
#Đăng ký mở từ hôm nay cho đến ngày 31 tháng 10
“Từ hôm nay đến hết ngày 31 tháng 10, chúng tôi xin mời các nhà nghiên cứu bảo mật đăng ký tham gia #Chương trình Thiết bị Nghiên cứu Bảo mật iPhone 2024 (SRDP) để khởi đầu nghiên cứu về iPhone, làm việc cùng đội ngũ bảo mật của chúng tôi để bảo vệ người dùng và hưởng gói thưởng Bảo mật của Apple”, công ty nói.
“Mỗi năm, chúng tôi chọn một số lượng giới hạn các nhà nghiên cứu bảo mật để nhận một SRD thông qua quy trình đăng ký dựa chủ yếu vào lịch sử nghiên cứu bảo mật, bao gồm cả trên các nền tảng khác ngoài iPhone”.
Apple cũng cho phép các trường đại học yêu cầu truy cập vào Chương trình Thiết bị Nghiên cứu Bảo mật iPhone 2024 để sử dụng nó như một công cụ hướng dẫn trong các khóa học khoa học máy tính.
Tất cả các đơn đăng ký sẽ được đánh giá kỹ lưỡng vào cuối năm, với thông báo cho các thí sinh được chọn sẽ được lên lịch từ đầu năm 2024.
Bạn có thể tìm thêm thông tin về điều kiện tham gia chương trình và đăng ký nhận Thiết bị Nghiên cứu Bảo mật trên #Trang Chương trình Thiết bị Nghiên cứu Bảo mật của Apple.
Apple announced today that iOS security researchers can now apply for a Security Research Device (SRD) by the end of October.
SRDs are iPhone 14 Pros with disabled security features and shell access that makes vulnerability research possible on an otherwise locked platform.
Apple describes them as a “specially-built hardware variant” of consumer-ready devices, providing researchers with the tools required to deactivate built-in iOS security safeguards.
“Shell access is available, and you can run any tools, choose your own entitlements, and even customize the kernel,” Apple says.
“Plus, any vulnerabilities that you discover with the SRD are automatically considered for Apple Security Bounty.”
If they receive a SRD as a 12-month renewable loan, researchers can use it to:
- Install and boot custom kernel caches.
- Run arbitrary code with any entitlements, including as platform and root outside the sandbox.
- Set NVRAM variables.
- Install and boot custom firmware for Secure Page Table Monitor (SPTM) and Trusted Execution Monitor (TXM), new in iOS 17.
The company added that iPhones provided through the Security Research Device Program should only be used by authorized people and never leave the premises of the security research facility.
Applications open until October 31
“From today through October 31, we invite security researchers to apply for the 2024 iPhone Security Research Device Program (SRDP) to jump-start their iPhone research, work with our security teams to help protect users, and qualify for Apple Security Bounty rewards,” the company said.
“Each year, we select a limited number of security researchers to receive an SRD through an application process that’s primarily based on a track record in security research, including on platforms other than iPhone.”
Apple also allows universities to request access to the 2024 iPhone Security Research Device Program to use it as an instructional aid in computer science courses.
All submissions will undergo a thorough evaluation by the end of the year, with notifications to chosen participants scheduled for the beginning of 2024.
You can find more information regarding program eligibility and submit an application for a Security Research Device on the Apple Security Research Device Program page.
[ad_2]
