Naast het onthullen van een speciaal macOS-bounty-programma tijdens de Black Hat-beveiligingsconferentie van deze week, wordt van Apple verwacht dat het onderzoekers speciale voorgejailbreakte iPhone-apparaten overhandigt die het voor hen gemakkelijker maken om beveiligingsproblemen in het iOS-besturingssysteem te detecteren.
Speciale iPhone-hardware is beperkt tot deelnemers aan het iOS bug bounty-programma. Forbes citeerde één bron met kennis van de Apple-aankondiging die uitlegde wat deze iPhones, ook wel "dev-apparaten" genoemd, bijzonder maakt:
Zie ze als iPhones waarmee de gebruiker veel meer kan dan op een traditioneel vergrendelde iPhone. Het zou bijvoorbeeld mogelijk moeten zijn om delen van het Apple-besturingssysteem te onderzoeken die niet gemakkelijk toegankelijk zijn op een commerciële iPhone. In het bijzonder kunnen hackers de processor stoppen en het geheugen inspecteren op kwetsbaarheden. Hierdoor kunnen ze zien wat er op codeniveau gebeurt wanneer ze een aanval op iOS-code proberen.
Het is zoals elke gejailbreakte iPhone, alleen met meer beperkingen.
Naast het proberen de iPhone-beveiliging te verbeteren, kan de verhuizing ook een reactie zijn op lekken van dev-apparaten, die vervolgens op de zwarte markt zijn verkocht. Ze zijn de afgelopen jaren nuttig gebleken voor hackers, volgens een vice-moederbordrapport. Hoewel de mogelijkheid voor lekken van iPhone-apparaten zou kunnen toenemen met deze nieuwste strategie, controleert Apple de mensen op zijn premieprogramma en zal waarschijnlijk nog steeds enige controle over de dev-telefoons behouden. De aankondiging kan ook worden gezien als de tech-gigant die probeert om die ondergrondse verkopen tegen te gaan.
Apple heeft ook speciale iPhone-hardware voor zijn beveiligingsteam die extra niveaus van openheid biedt voor intern gebruik, bijvoorbeeld werknemers die deze apparaten gebruiken, kunnen iPhone-firmware decoderen, maar die apparaten zijn niet beschikbaar voor de leden van het iOS bug bounty-programma.
Zeer verheugd om dit jaar terug te keren naar de Black Hat-fase om te praten over enkele Apple-beveiligingsfuncties van wereldklasse! iOS-code-integriteit en Pointer Authentication Codes, Mac beveiligd opstarten met de T2 Security Chip, de crypto achter de Find My-functie en meer: https://t.co/ftnHs3iBO5 https://t.co/SzkzTt354z
- Ivan Krstić (@radian) 26 juni 2019
Aangekondigd tijdens de Black Hat-conferentie in 2016, beloont het iOS-programma voor het verhuren van bugs op uitnodiging beveiligingsonderzoekers die bugs in de producten van het bedrijf zouden onthullen met maximaal $ 200.000.
