Abgesehen davon, dass Apple auf der dieswöchigen Black Hat-Sicherheitskonferenz ein dediziertes MacOS-Kopfgeldprogramm vorstellt, soll Apple Forschern spezielle iPhone-Geräte zur Verfügung stellen, mit denen sie Sicherheitslücken im iOS-Betriebssystem leichter erkennen können.
Spezielle iPhone-Hardware ist auf Teilnehmer des iOS-Bug-Bounty-Programms beschränkt. Forbes zitierte eine Quelle mit Kenntnis der Apple-Ankündigung, die erklärte, was diese iPhones, auch als "Entwicklergeräte" bezeichnet, besonders macht:
Stellen Sie sich diese als iPhones vor, mit denen der Benutzer viel mehr als mit einem traditionell gesperrten iPhone tun kann. Zum Beispiel sollte es möglich sein, Teile des Apple-Betriebssystems zu untersuchen, auf die auf einem kommerziellen iPhone nicht einfach zugegriffen werden kann. Insbesondere könnten die speziellen Geräte Hackern ermöglichen, den Prozessor anzuhalten und den Speicher auf Schwachstellen zu untersuchen. Auf diese Weise können sie sehen, was auf Codeebene passiert, wenn sie einen Angriff auf iOS-Code versuchen.
Es ist wie jedes iPhone mit Jailbreak, nur mit mehr Einschränkungen.
Abgesehen von dem Versuch, die Sicherheit des iPhones zu erhöhen, könnte der Schritt auch eine Reaktion auf Lecks von Entwicklungsgeräten sein, die anschließend auf dem Schwarzmarkt verkauft wurden. Sie haben sich in den letzten Jahren für Hacker als nützlich erwiesen, so ein Bericht des Vice Motherboards. Obwohl die Wahrscheinlichkeit von iPhone-Gerätelecks mit dieser neuesten Strategie zunehmen könnte, überprüft Apple die Benutzer seines Kopfgeldprogramms und behält wahrscheinlich immer noch die Kontrolle über die Dev-Telefone. Die Ankündigung könnte auch als Versuch des Technologieriesen gesehen werden, diesen unterirdischen Verkäufen entgegenzuwirken.
Apple hat auch eine spezielle iPhone-Hardware für sein Sicherheitsteam, die zusätzliche Offenheit für den internen Gebrauch bietet. Mitarbeiter, die diese Geräte verwenden, können beispielsweise die iPhone-Firmware entschlüsseln. Diese Geräte stehen jedoch den Mitgliedern des iOS-Programms zur Bugs Bounty nicht zur Verfügung.
Ich freue mich sehr, dieses Jahr auf die Bühne von Black Hat zurückzukehren und über einige erstklassige Sicherheitsfunktionen von Apple zu sprechen! iOS-Code-Integrität und Pointer-Authentifizierungscodes, sicherer Mac-Start mit dem T2-Sicherheitschip, der Krypto hinter der Funktion "Find My" und mehr: https://t.co/ftnHs3iBO5 https://t.co/SzkzTt354z
- Ivan Krstić (@radian) 26. Juni 2019
Das auf der Black Hat-Konferenz 2016 angekündigte, nur auf Einladung erhältliche iOS-Programm zur Aufdeckung von Fehlern belohnt Sicherheitsforscher, die Fehler in den Produkten des Unternehmens mit bis zu 200.000 US-Dollar aufdecken würden.
