苹果准备推出iPhone 15和iOS 17新系统前夕,再度分享iOS安全性,苹果强调与安全研究员共同合作下,近4年来也替iPhone设备修补超过130项重大iOS系统漏洞。
自从 2019 年起苹果 就启动一项「安全研究设备计划」(Apple Security Research Device Program; SRDP),提供一项特殊无安全防护机制 iPhone 设备给参与研究人员和安全团队,方便他们能够快速找出 iOS 安全漏洞。
这项计划也并非是所有人都能自由报名参与,会由苹果从中挑选曾回报过漏洞的研究人员才能参与这项苹果安全漏洞奖励计划,同时只要有找到漏洞就会提供奖金。
苹果也分享,目前SRDP安全研究员光是在过去六个月内,就发现36项iOS系统漏洞,受影响包含有系统核心、XPC服务、XUN核心以及和核心扩充程序等。 该计划推行至今已经4年,苹果总计从iPhone设备内发现130多项重大iOS安全漏洞,甚至也针对100多项漏洞发出最高50万元奖金。
今年SRDP计划是以iPhone 14 Pro为核心主体研究设备,苹果还替研究人员提供一些相关工具,方便安全研究人员能通过任何设置或关闭iOS系统进阶安全防护,通常这些防护机制不允许普通iPhone直接关闭。
该项目也允许研究人员能启用核心快取、设置SNVRAM变项,以及执行任意程式代码,并且拥有iOS平台完整Root最高权限,同等于是一台可越狱的iPhone 14 Pro设备,以利于安全研究人员能够安装与启动iOS 17 SPTM(Secure Page Table Monitor)及TXM(Trusted Execution Monitor)。
就算部分安全漏洞已经被修复,依旧能够让安全研究人员在特殊 iPhone 设备进行研究,并找出更其他相关漏洞。
以往苹果只会邀请有研究结果的安全人员加入SRDP计划,不过今年也开放给教育机构资安老师申请,能够让大学教师能够在实验室或课堂上使用特殊款iPhone进行教程或研究。
2024 年度 SRDP 计划也从即日起开始报名,时间只到10月31日止,有兴趣者可通过官方报名网址申请,并需提交研究报告,最终苹果才会在2024年初通知入选参赛者。
Apple安全研究设备计划申请条件
- 申请成为年费苹果开发者
- 在Apple平台或其他平台上找过安全漏洞经验
- 年龄需满18岁
- 过去一年没有苹果雇用关系
