Appleは、今週のBlack HatセキュリティカンファレンスでmacOS専用の報奨金プログラムを発表するほか、研究者にiOSオペレーティングシステムのセキュリティ上の脆弱性をより簡単に検出できる、ジェイルブレイク前の特別なiPhoneデバイスを手渡すと予想されている。
特別なiPhoneハードウェアは、iOSバグ報奨金プログラムの参加者に限定されます。Forbesは、Appleの発表に詳しい情報筋を引用し、「開発デバイス」とも呼ばれるこれらのiPhoneの特別な点について次のように説明しています。
これらは、従来のロックダウンされたiPhoneよりもはるかに多くのことをユーザーに可能にするiPhoneだと考えてください。例えば、市販のiPhoneでは簡単にアクセスできないAppleのオペレーティングシステムの一部にアクセスできるはずです。特に、これらの特別なデバイスを使えば、ハッカーはプロセッサを停止させ、メモリの脆弱性を調査することができます。これにより、iOSコードへの攻撃を試みた場合、コードレベルで何が起こるかを確認できるようになります。
これは、ジェイルブレイクされた iPhone と似ていますが、制限がさらに厳しくなっています。
iPhoneのセキュリティ強化に加え、今回の動きは、開発端末の流出とその後の闇市場での売買への対応策とも考えられる。Vice Motherboardの報道によると、近年、開発端末はハッカーにとって格好の標的となっている。今回の最新戦略によりiPhone端末の流出の可能性は高まるものの、Appleは報奨金プログラムの参加者を審査しており、開発端末に対する一定の管理権は今後も維持される可能性が高い。今回の発表は、この巨大テック企業が闇市場での売買に対抗しようとしているとも解釈できる。
Apple 社は、社内使用のためのさらなるオープン性を提供する特別な iPhone ハードウェアをセキュリティ チーム向けに用意しています。たとえば、これらのデバイスを使用する従業員は iPhone のファームウェアを復号化できますが、これらのデバイスは iOS バグ報奨金プログラムのメンバーには提供されません。
今年もBlack Hatのステージに戻り、世界トップクラスのAppleセキュリティ機能についてお話しできることを大変嬉しく思っています!iOSのコード整合性とポインタ認証コード、T2セキュリティチップによるMacのセキュアブート、「探す」機能を支える暗号化技術など、その他にも様々な話題についてお話します。https://t.co/ftnHs3iBO5 https://t.co/SzkzTt354z
— イワン・クルスティッチ (@radian) 2019年6月26日
2016年のBlack Hatカンファレンスで発表された、招待者限定のiOSバグ報奨金プログラムでは、同社製品のバグを開示したセキュリティ研究者に最大20万ドルの報酬が支払われる。
