iPhone 15公布在即,苹果再次强调iPhone的安全性,昨(30)日公布过去4年来,苹果在和安全研究人员合作下,修补了iPhone超过130项重大漏洞。
苹果从2019年起,在安全研究装置方案(Security Research Device Program)下提供特别准备的iPhone给参与计划的研究人员,允许他们找出iOS安全漏洞而无需苦苦绕过种种安全防护。 最重要的是,在这计划下通报的任何漏洞,都会列入苹果安全奖励方案给予奖金。 苹果指出,自4年前推行以来,SRDP研究人员共发现130项高影响性的重大安全漏洞,研究发现使苹果得以实现缓解方案以保护iOS平台。 单单在过去6个月内,研究人员发现就有36项列为漏洞,受影响元件涵括XNU核心、核心扩充程序、XPC服务。
有些在本方案找到的安全漏洞也拿到了苹果颁发的抓漏奖励。 历来通过SRDP,苹果共针对100多项漏洞颁发50万美元奖金,奖金中位数约为1.8万美元。
今年SRDP计划又开始了。 今年SRDP的核心主体是一为安全研究特制的iPhone 14 Pro,加上一些相关工具,供研究人员可以使用,他们可以选择任何策略来设置或关闭iOS的进阶安全防护,这些防护在平常iPhone上是不可能为一般用户关闭的。
在这项方案中,苹果允许研究人员安装和启用核心缓存、以任何权限执行任意代码,包括以平台或以根权限。 他们也可以设置SNVRAM变项、安装和启动iOS 17上的SPTM(Secure Page Table Monitor)及TXM(Trusted Execution Monitor)。 而即使一些通报的漏洞已经先行修补过,参与者仍然可以在特制的iPhone上持续其研究。
每年他们会根据过去在iPhone以外的研究成果邀请一些安全研究人员加入SRDP,寄发这些特制iPhone,也让大学教师参与本计划作为电脑资安教程之用。 老师可申请授权,以便在课堂或实验室使用这些iPhone。
今年SRDP即日起接受报名至10月31日为止。 有意参加者可通过报名网址报名,苹果会在今年年底前审查所有提交的研究报告,并在2024年初通知优异的参赛者。
