Apple lance l'édition 2024 de son programme de recherche de failles sur iPhone
- 👨 Alban Martin
- Il y a 1 an
- 💬 Réagir
Une tradition depuis 2019
L'iPhone Security Research Device Program (SRDP) existe depuis 2019, et les chercheurs l'ont utilisé pour localiser 130 vulnérabilités de sécurité à fort impact. Apple affirme que les chercheurs l'ont aidé à mettre en œuvre des "atténuations inédites" pour protéger les appareils iOS.
Au cours des six derniers mois, les participants au programme ont reçu 37 crédits CVE pour leurs découvertes et ont contribué à l'amélioration du noyau XNU, des extensions du noyau et des services XPC. Autrement dit, ils ont été cités dans les notes de version des différentes mises à jour logicielles d'iOS.
Les chercheurs qui participent au programme SRDP sont éligibles aux primes de sécurité d'Apple. Apple a récompensé plus de 100 rapports de chercheurs SRDP et indique que les "récompenses multiples" ont atteint 500 000 dollars avec une récompense médiane de près de 18 000 dollars. La moitié a touché moins, l'autre a touché plus.
Les iPhone 14 Pro de recherche qu'Apple fournit aux participants sont dotés d'un matériel et d'un logiciel spécialement conçus pour la recherche en matière de sécurité. Les chercheurs sont en mesure de configurer ou de désactiver les protections de sécurité iOS afin de les manipuler d'une manière qui n'est pas possible avec un iPhone de base.
Les chercheurs peuvent notamment utiliser un tel dispositif pour :
- Installer et démarrer des caches de noyau personnalisés.
- Exécuter du code arbitraire avec n'importe quel droit, y compris en tant que plateforme et en tant que root en dehors du bac à sable.
- Définir des variables NVRAM.
- Installer et démarrer des microprogrammes personnalisés pour Secure Page Table Monitor (SPTM) et Trusted Execution Monitor (TXM), nouveaux dans iOS 17.
Qui a droit à un iPhone spécial ?
Les SRD sont mis à la disposition des chercheurs en sécurité qui ont des antécédents en matière de recherche sur la sécurité, tant sur l'iPhone que sur d'autres plateformes, et Apple met les appareils à la disposition des éducateurs universitaires qui souhaitent s'en servir comme outil d'enseignement pour les étudiants en informatique.
Apple sélectionne chaque année un nombre limité de participants qui recevront un appareil de recherche. Les candidatures sont ouvertes jusqu'au 31 octobre 2023. Les participants sélectionnés seront informés au début de l'année 2024.