Outre le dévoilement d’un programme de primes macOS dédié lors de la conférence sur la sécurité Black Hat de cette semaine, Apple devrait remettre aux chercheurs des appareils iPhone pré-jailbreakés spéciaux qui leur permettront de détecter plus facilement les vulnérabilités de sécurité dans le système d’exploitation iOS.
Le matériel spécial pour iPhone sera limité aux participants au programme iOS Bug Bounty. Forbes a cité une source au courant de l’annonce d’Apple qui a expliqué ce qui rend ces iPhones, également appelés “dispositifs de développement”, spéciaux :
Considérez-les comme des iPhones qui permettent à l’utilisateur de faire beaucoup plus qu’il ne le pourrait sur un iPhone traditionnellement verrouillé. Par exemple, il devrait être possible de sonder des éléments du système d’exploitation Apple qui ne sont pas facilement accessibles sur un iPhone commercial. En particulier, les dispositifs spéciaux pourraient permettre aux pirates d’arrêter le processeur et d’inspecter la mémoire à la recherche de vulnérabilités. Cela leur permettrait de voir ce qui se passe au niveau du code lorsqu’ils tentent une attaque sur le code iOS.
C’est comme n’importe quel iPhone jailbreaké, mais avec plus de restrictions.
En plus d’essayer de renforcer la sécurité de l’iPhone, cette décision pourrait également être une réaction aux fuites d’appareils de développement, qui ont ensuite été vendus sur le marché noir. Ils se sont révélés utiles aux pirates au cours des dernières années, selon un rapport de Vice Motherboard. Bien que la possibilité de fuites d’appareils iPhone puisse augmenter avec cette dernière stratégie, Apple examine les personnes participant à son programme de primes et conservera probablement un certain contrôle sur les téléphones de développement. L’annonce pourrait également être considérée comme le géant de la technologie essayant de contrer ces ventes clandestines.
Apple dispose également d’un matériel iPhone spécial pour son équipe de sécurité qui offre des niveaux supplémentaires d’ouverture pour une utilisation interne – ou, par exemple, les employés utilisant ces appareils peuvent décrypter le micrologiciel de l’iPhone – mais ces appareils ne seront pas disponibles pour les membres du programme iOS Bug Bounty.
Très heureux de revenir sur la scène Black Hat cette année pour parler de certaines fonctionnalités de sécurité Apple de classe mondiale ! Intégrité du code iOS et codes d’authentification du pointeur, démarrage sécurisé Mac avec la puce de sécurité T2, la crypto derrière la fonction Find My, et plus encore : https://t.co/ftnHs3iBO5 https://t.co/SzkzTt354z
– Ivan Krsti 膰 (@radian) 26 juin 2019
Annoncé lors de la conférence Black Hat 2016, le programme de primes de bogues iOS sur invitation uniquement récompense les chercheurs en sécurité qui divulgueraient des bogues dans les produits de l’entreprise jusqu’à 200 000 $.