安全動(dòng)態(tài)

為更快尋找 iOS 漏洞 蘋(píng)果將向安全專(zhuān)家提供開(kāi)發(fā)版 iPhone

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-08-06    瀏覽次數(shù):
 

信息來(lái)源:hackernews

        蘋(píng)果計(jì)劃向安全研究人員提供特有的iPhone型號(hào),以便于他們能更輕松的找到iOS系統(tǒng)的漏洞。援引福布斯報(bào)道,蘋(píng)果計(jì)劃在本周晚些時(shí)候召開(kāi)的黑帽安全會(huì)議上宣布這條消息。 并非所有安全專(zhuān)家都能獲得特制iPhone,僅面向此前受到蘋(píng)果邀請(qǐng)參與BUG懸賞計(jì)劃的安全研究人員。通過(guò)該計(jì)劃,研究人員可以通過(guò)向蘋(píng)果披露iOS漏洞以獲得獎(jiǎng)勵(lì)。

71822718df44ac5

一些Giulio Zompetti收藏的“dev-fused”版iPhone 圖片來(lái)自于 Giulio Zompetti

        那么和面向普通消費(fèi)者的iPhone相比,這些特制iPhone有何不同?

        一位知情人士透露,這些iPhone本質(zhì)上均為“開(kāi)發(fā)設(shè)備”。相比較面向普通消費(fèi)者的已鎖iPhone,允許開(kāi)發(fā)者做更多的事情。例如,允許開(kāi)發(fā)者訪(fǎng)問(wèn)傳統(tǒng)消費(fèi)者版本中不允許訪(fǎng)問(wèn)的iOS系統(tǒng)。更為重要的是,開(kāi)發(fā)者在這些特制iPhone上能夠允許停止處理器運(yùn)行以及檢查內(nèi)存中是否存在漏洞。

8227d7904142a72

一臺(tái)安裝在支架上的“dev-fused”版iPhone Image: Motherboard

        雖然這些iPhone具備更高的自由度,但這些iPhone并不會(huì)像給內(nèi)部蘋(píng)果開(kāi)發(fā)人員以及安全團(tuán)隊(duì)那樣功能豐富。例如,使用這些設(shè)備的安全研究人員可能無(wú)法解密iPhone固件。目前市場(chǎng)上也有一些iPhone開(kāi)發(fā)者機(jī)型,但是這些設(shè)備通常在黑市上銷(xiāo)售,而且價(jià)格非常高昂。

        在黑市上這些iPhone被稱(chēng)之為“dev-fused”版iPhone。這些“dev-fused”版iPhone并未完成量產(chǎn)階段,并且取消了諸多安全功能,Motherboard在報(bào)道中將其描述為“準(zhǔn)越獄設(shè)備”(pre-jailbroken devices)?!癲ev-fused”版iPhone非常罕見(jiàn),如果被偷運(yùn)出蘋(píng)果在黑市上可以賣(mài)出數(shù)千美元。這些iPhone擁有非常高的價(jià)值,因?yàn)檫@些可以用于查找影響iPhone現(xiàn)有版本的漏洞。

a35b480c0c7c66f

一些Giulio Zompetti收藏的“dev-fused”版iPhone 圖片來(lái)自于 Giulio Zompetti

        世界上最知名的iOS安全研究人員之一Luca Todesco向Motherboard透露:“如果你是攻擊者,要么進(jìn)行暴力破解要么花費(fèi)數(shù)千美元買(mǎi)這樣一臺(tái)iPhone。而不少人都選擇了第二種?!盡otherboard隨后在推特上發(fā)現(xiàn)了不少出售“dev-fused”版iPhone的用戶(hù),費(fèi)用最低在1800美元左右。這些賣(mài)家同時(shí)還表示他們向多名安全專(zhuān)家提供“dev-fused”版iPhone,而且相信很多破解iPhone的大型安全公司也在使用這些手機(jī)。不過(guò)也有賣(mài)家提供的“dev-fused”版iPhone價(jià)格更高,Motherboard發(fā)現(xiàn)有個(gè)iPhone XR版本售價(jià)高達(dá)20000美元。

        與此同時(shí),該報(bào)道稱(chēng)蘋(píng)果也計(jì)劃推出Mac賞金計(jì)劃。這類(lèi)似于iOS bug獎(jiǎng)勵(lì),并獎(jiǎng)勵(lì)安全研究人員在macOS中發(fā)現(xiàn)的漏洞。早在二月份,一位安全研究人員詳細(xì)介紹了macOS漏洞來(lái)訪(fǎng)問(wèn)Keychain密碼,但由于缺少針對(duì)macOS的bug賞金計(jì)劃,他拒絕與Apple分享詳細(xì)信息。盡管該公司沒(méi)有公開(kāi)宣布錯(cuò)誤賞金計(jì)劃,但最終研究人員確實(shí)與蘋(píng)果分享了該漏洞的詳細(xì)信息。

 
 

上一篇:網(wǎng)絡(luò)安全法律法規(guī)知多少

下一篇:2019年08月06日 聚銘安全速遞