Apple a annoncé aujourd’hui que les chercheurs en sécurité iOS peuvent désormais demander un dispositif de recherche sur la sécurité (SRD) d’ici la fin octobre.
Les SRD sont des iPhone 14 Pro avec des fonctionnalités de sécurité désactivées et un accès au shell qui rendent possible la recherche de vulnérabilités sur une plate-forme autrement verrouillée.
Apple les décrit comme une « variante matérielle spécialement conçue » d’appareils grand public, fournissant aux chercheurs les outils nécessaires pour désactiver les mesures de sécurité intégrées d’iOS.
« L’accès au shell est disponible et vous pouvez exécuter n’importe quel outil, choisir vos propres droits et même personnaliser le noyau », explique Apple.
« De plus, toutes les vulnérabilités que vous découvrez avec le SRD sont automatiquement prises en compte pour Apple Security Bounty. »
S’ils reçoivent un SRD sous forme de prêt renouvelable de 12 mois, les chercheurs peuvent l’utiliser pour :
- Installez et démarrez les caches de noyau personnalisés.
- Exécutez du code arbitraire avec tous les droits, y compris en tant que plate-forme et racine en dehors du bac à sable.
- Définissez les variables NVRAM.
- Installez et démarrez un micrologiciel personnalisé pour Secure Page Table Monitor (SPTM) et Trusted Execution Monitor (TXM), nouveaux dans iOS 17.
La société a ajouté que les iPhones fournis dans le cadre du programme de recherche sur la sécurité ne doivent être utilisés que par des personnes autorisées et ne doivent jamais quitter les locaux du centre de recherche sur la sécurité.
Candidatures ouvertes jusqu’au 31 octobre
« À partir d’aujourd’hui et jusqu’au 31 octobre, nous invitons les chercheurs en sécurité à postuler au programme SRDP (iPhone Security Research Device Program) 2024 pour relancer leurs recherches sur l’iPhone, travailler avec nos équipes de sécurité pour aider à protéger les utilisateurs et se qualifier pour les récompenses Apple Security Bounty. « , a déclaré l’entreprise.
« Chaque année, nous sélectionnons un nombre limité de chercheurs en sécurité pour recevoir un SRD via un processus de candidature principalement basé sur des antécédents en matière de recherche en sécurité, y compris sur des plateformes autres que l’iPhone. »
Apple permet également aux universités de demander l’accès au programme 2024 sur les dispositifs de recherche sur la sécurité de l’iPhone afin de l’utiliser comme aide pédagogique dans les cours d’informatique.
Toutes les candidatures feront l’objet d’une évaluation approfondie d’ici la fin de l’année, avec des notifications aux participants choisis prévues pour début 2024.
Vous pouvez trouver plus d’informations sur l’éligibilité au programme et soumettre une demande pour un dispositif de recherche sur la sécurité sur la page du programme Apple Security Research Device.