Aktuality  |  Články  |  Recenze
Doporučení  |  Diskuze
Grafické karty a hry  |  Procesory
Storage a RAM
Monitory  |  Ostatní
Akumulátory, EV
Robotika, AI
Průzkum vesmíru
Digimanie  |  TV Freak  |  Svět mobilně

Bug bounty u Applu: půjčí speciálně upravené iPhony pro snazší hackování

24.7.2020, Milan Šurkala, aktualita
Bug bounty u Applu: půjčí speciálně upravené iPhony pro snazší hackování
Mnoho společností má své bug bounty programy, kde lidem, kteří najdou v produktech bezpečnostní chyby, vyplatí odměnu. Společnost Apple jde ještě dál a dokonce nabídne k zapůjčení iPhony se slabším zabezpečením pro snazší hackování.
Boj za vyšší bezpečnost produktů se nevede jen interně ve vývojářských centrech výrobců, ale i přes tzv. bug bounty programy. Zde nezávislí hackeři (ve smyslu etických hackerů) mohou hledat bezpečnostní chyby v produktech a pokud nějakou takovou najdou a ohlásí, mohou dostat peněžitou odměnu. Apple takový program má a už loni ohlásil, že by chtěl představit také speciální iPhone pro hackery. Tak se nyní děje a etičtí hackeři (různí nadšenci, bezpečnostní výzkumníci a podobně) se mohou přihlásit do programu Apple Security Research Device (SRD).
 
Apple iPhone SRD
 
Takové iPhony jsou určeny pouze pro výzkum bezpečnosti, nikoli tedy pro běžné denní užívání, a aby to výzkumníci měli trochu jednodušší, mohou přistupovat k více částem systému (především přístup k shellu). Díky tomu výzkumníci mohou na zařízení spouštět libovolné aplikace, které jim mohou pomoci odhalit chyby, se kterými by se jinak mnohem více natrápili. V ostatních ohledech to budou standardní iPhony, aby co nejlépe reprezentovali skutečná zařízení.
 
Abyste však iPhone SRD obdrželi, je potřeba splnit několik podmínek. Vývojář nebo bezpečnostní výzkumník musí být členem Apple Developer Programu a musí prokázat, že už v minulosti dokázal reportovat nějaké bezpečnostní chyby a hacknout zařízení Applu. Také je nutno mít alespoň 18 let, nebýt v zemi, na kterou USA uvalilo embargo a člověk nesměl být v předchozích 12 měsících zaměstnancem Applu. Zařízení se půjčuje na 12 měsíců, smlouva ale může být prodloužena.
 
Výzkumníci jsou nicméně nešťastní z toho, že Apple vyžaduje nestandardně nastavenou mlčenlivost po nahlášení chyby, kterou pak výzkumníci nesmí s nikým diskutovat. Průmyslovým standardem je 90 dní, které má výrobce na opravu, Apple si však chce toto datum, kdy mohou výzkumníci s hlášením chyby na veřejnost, určovat sám. Někteří z etických hackerů se tak už vyjádřili, že se SRD nezúčastní a budou Apply hackovat za standardních podmínek. Budou to sice bez zařízení SRD mít těžší, ale na druhou stranu Apple bude muset přijít s opravou do 90 dní, jinak může být veřejně známá a nebýt opravena. Což by byla ostuda a bezpečnostní riziko.