Beheer

Security
iPhone

Apple geeft ethische hackers speciale iPhones voor beveiligingsonderzoek

iPhones krijgen speciale software voor onderzoek naar kwetsbaarheden.

© Apple
23 juli 2020

iPhones krijgen speciale software voor onderzoek naar kwetsbaarheden.

Apple gaat ethische hackers en beveiligingsonderzoekers voorzien van speciale iPhones, waarmee ze kunnen zoeken naar kwetsbaarheden in iOS. De iPhones zijn voorzien van een speciale versie van iOS, met extra toegang en functies die normale iPhones niet hebben. De telefoons blijven echter het eigendom van Apple en worden iedere 12 maanden vervangen.

Apple werkt al jaren om de iPhone zo veilig mogelijk te maken, onder meer door zijn software zo ver mogelijk dicht te zetten. Maar daardoor kunnen beveiligingsonderzoekers moeilijk onder de motorkap kijken om te zien wat er precies gebeurt als dingen fout gaan. Het nieuwe programma van Apple moet daar verandering in brengen. 

Via dat programma krijgen deelnemende beveiligingsexperts namelijk speciale iPhones, genaamd Security Research Devices (SRD), die uitgebreider onderzoek mogelijk maken. Onderzoekers krijgen bijvoorbeeld SSH-toegang en kunnen een root shell gebruiken om eigen commando's uit te voeren. Ook zijn er debugging-tools aanwezig om de code gemakkelijker uit te voeren en beter te kunnen begrijpen wat er precies gebeurt. 

Strenge eisen voor deelnemers

Apple geeft de speciale iPhones - het Security Research Device (SRD) - niet zomaar aan iedereen. Beveiligingsonderzoekers die mee willen doen aan het programma moeten aan diverse eisen voldoen. Zo moeten ze een Account Holder zijn in het Apple Developer Program en eerder al beveiligingsproblemen hebben gevonden op Apple-platformen of in andere moderne besturingssystemen. 

Ook is het niet zo dat de onderzoekers simpelweg een telefoon krijgen en de betrekking van Apple daar eindigt. Apple zegt tegenover TechCrunch dat het meer een samenwerking moet worden. Ethische hackers krijgen namelijk ook toegang tot uitgebreide documentatie en een speciaal forum met Apple-engineers, waar ze vragen kunnen stellen en feedback kunnen krijgen. 

Wordt de SRD gebruikt om een kwetsbaarheid te vinden, testen, valideren, verifiëren of bevestigen, dan moet dit bij Apple gemeld worden. Blijkt de fout in code van een derde partij te zitten, dan moet dit ook bij die derde partij gemeld worden. 

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.