Apple ha anunciado que lanza una versión especial del iPhone a investigadores de seguridad aprobados como parte de un nuevo Programa de dispositivos de investigación de seguridad de Apple (SRD).
El SRD, que se anunció originalmente durante la conferencia de seguridad de la información Black Hat del año pasado por Ivan Krstic, es un iPhone estándar con controles de seguridad clave deshabilitados para permitir a los investigadores de seguridad ejecutar sus propias herramientas.
Apple proporcionará SRD en préstamos renovables de un año para la investigación.
Como parte del compromiso de Apple con la seguridad, este programa está diseñado para ayudar a mejorar la seguridad de todos los usuarios de iOS, atraer más investigadores al iPhone y mejorar la eficiencia para aquellos que ya trabajan en la seguridad de iOS. Cuenta con un iPhone dedicado exclusivamente a la investigación de seguridad, con políticas de ejecución y contención de código únicas.
Cómo funciona el Apple Security Research Device Program
El dispositivo de investigación de seguridad (SRD) está diseñado para usarse en un entorno controlado solo para investigación de seguridad. El acceso a Shell está disponible y podrá ejecutar cualquier herramienta y elegir sus derechos. De lo contrario, el SRD se comporta lo más parecido posible a un iPhone estándar para ser un objetivo de investigación representativo.
Los SRD se proporcionan con una base renovable de 12 meses y siguen siendo propiedad de Apple. No están destinados para uso personal o transporte diario, y deben permanecer en las instalaciones de los participantes del programa en todo momento. El acceso y el uso de los SRD deben limitarse a las personas autorizadas por Apple.
- Si utiliza el SRD para buscar, probar, validar, verificar o confirmar una vulnerabilidad, debe informarlo de inmediato a Apple y, si el error está en el código de un tercero, al tercero correspondiente. Si no usó el SRD para ningún aspecto de su trabajo con una vulnerabilidad, Apple recomienda encarecidamente (y recompensa, a través de Apple Security Bounty) que informe de la vulnerabilidad, pero no está obligado a hacerlo.
- Si informa una vulnerabilidad que afecta a los productos de Apple, Apple le proporcionará una fecha de publicación (generalmente la fecha en que Apple lanza la actualización para resolver el problema). Apple trabajará de buena fe para resolver cada vulnerabilidad lo antes posible. Hasta la fecha de publicación, no puede discutir la vulnerabilidad con otros.
- Las vulnerabilidades encontradas con un SRD se consideran automáticamente como recompensa a través de Apple Security Bounty.
Requisitos para participar en el programa
La participación en el Programa de dispositivos de investigación de seguridad está sujeta a la revisión de su solicitud. La disponibilidad del dispositivo es limitada. Los dispositivos no estarán disponibles para todos los solicitantes calificados en el período de solicitud inicial. Los solicitantes calificados que no reciban un dispositivo durante este período serán considerados automáticamente durante el próximo período de solicitud en 2021. Para ser elegible para el Programa de investigación de dispositivos de seguridad, debe:
- Ser titular de una cuenta de miembro en el Programa de Desarrolladores de Apple.
- Tener un historial comprobado de éxito en la búsqueda de problemas de seguridad en las plataformas de Apple u otros sistemas operativos y plataformas modernos.
- Estar basado en un país o región elegible. *
La participación no está disponible si:
- Estás en cualquier país embargado de EE. UU., En la lista de ciudadanos especialmente designados del Departamento del Tesoro de EE. UU., En la lista de personas denegadas o en la lista de entidades del Departamento de Comercio de EE. UU., O en cualquier otra lista restringida de partes.
- Eres menor de la mayoría de edad legal en la jurisdicción en la que reside (18 años en muchos países).
- Eres empleado por Apple actualmente o en los últimos 12 meses.
| Developer: Apple Security Research Device Program
