當前位置:首頁 > 安全 >

为更快找iOS漏洞 苹果将向安全专家提供开发版iPhone

公布时间:2019-08-07 14:45:50 來源:新浪科技 作者:cnBeta
[摘要]蘋果計劃向安全研究人員提供特有的iPhone型號,以便于他們能更輕松的找到iOS系統的漏洞。援引福布斯報道,蘋果計劃在本周晚些時候召開的黑...
蘋果計劃向安全研究人員提供特有的iPhone型號,以便于他們能更輕松的找到iOS系統的漏洞。援引福布斯報道,蘋果計劃在本周晚些時候召開的黑帽安全會議上宣布這條消息。並非所有安全專家都能獲得特制iPhone,僅面向此前受到蘋果邀請參與BUG懸賞計劃的安全研究人員。通過該計劃,研究人員可以通過向蘋果披露iOS漏洞以獲得獎勵。
一些Giulio Zompetti收藏的“dev-fused”版iPhone图片来自于Giulio Zompetti
一些Giulio Zompetti收藏的“dev-fused”版iPhone图片来自于Giulio Zompetti

那麽和面向一般消費者的iPhone相比,這些特制iPhone有何差异?

一位知情人士透露,這些iPhone本質上均爲“開發設備”。相比較面向一般消費者的已鎖iPhone,允許開發者做更多的事情。例如,允許開發者訪問傳統消費者版本中不允許訪問的iOS系統。更爲重要的是,開發者在這些特制iPhone上能夠允許停止處理器運行以及檢查內存中是否存在漏洞。

一台安装在支架上的“dev-fused”版iPhone(Image: Motherboard)
一台安装在支架上的“dev-fused”版iPhone(Image: Motherboard)

雖然這些iPhone具備更高的自由度,但這些iPhone並不會像給內部蘋果開發人員以及安全團隊那樣功能豐富。例如,使用這些設備的安全研究人員可能無法解密iPhone固件。目前市場上也有一些iPhone開發者機型,但是這些設備通常在黑市上銷售,而且價格非常高昂。

在黑市上这些iPhone被称之为“dev-fused”版iPhone。这些“dev-fused”版iPhone并未完成量产阶段,而且取消了诸多安全功能,Motherboard在报道中将其描述为“准越狱设备”(pre-jailbroken devices)。“dev-fused”版iPhone非常罕见,如果被偷运出苹果在黑市上可以卖出数千美元。这些iPhone拥有非常高的价值,因为这些可以用于查找影响iPhone现有版本的漏洞。

一些Giulio Zompetti收藏的“dev-fused”版iPhone(图片来自于Giulio Zompetti)
一些Giulio Zompetti收藏的“dev-fused”版iPhone(图片来自于Giulio Zompetti)

世界上最知名的iOS安全研究人员之一Luca Todesco向Motherboard透露:“如果你是攻击者,要么进行暴力破解要么花费数千美元买这样一台iPhone。而不少人都选择了第二种。”Motherboard随后在推特上发现了不少出售“dev-fused”版iPhone的用户,费用最低在1800美元左右。这些卖家同时还体现他们向多名安全专家提供“dev-fused”版iPhone,而且相信很多破解iPhone的大型安全公司也在使用这些手机。不外也有卖家提供的“dev-fused”版iPhone价格更高,Motherboard发现有个iPhone XR版本售价高达20000美元。

与此同时,该报道称苹果也计划推出Mac赏金计划。这类似于iOS bug奖励,并奖励安全研究人员在macOS中发现的漏洞。早在二月份,一位安全研究人员详细介绍了macOS漏洞来访问Keychain密码,但由于缺少针对macOS的bug赏金计划,他拒绝与Apple分享详细信息。尽管该公司没有公开宣布错误赏金计划,但最终研究人员确实与苹果分享了该漏洞的详细信息。

【返回首頁】