Appleはセキュリティ研究者らから批判を受けていたBug Bounty ProgramをmacOSにも今後適用するようです。詳細は以下から。
米Forbesによると、アメリカのラスベガスで08月07日から開催されるセキュリティ・カンファレンス「Black Hat USA 2019」にて、Appleのセキュリティ&アーキテクチャーの主任エンジニアであるIvan Krstićが登壇し、セキュリティ関係者に特別仕様のiPhoneを提供するとともに、過去に批判が出ていたAppleのBug Bounty ProgramをmacOSにも適用するようです。
Very excited to return to the Black Hat stage this year to talk about some world-class Apple security features! iOS code integrity and Pointer Authentication Codes, Mac secure boot with the T2 Security Chip, the crypto behind the Find My feature, and more: https://t.co/ftnHs3iBO5 https://t.co/SzkzTt354z
— Ivan Krstić (@radian) June 26, 2019
From a cybersecurity perspective, it appears so. Later this week, at the Black Hat security conference in Las Vegas, Apple is to announce plans to give security researchers special iPhones that will make it easier for them to find weaknesses in the smartphone, Forbes has learned. It’ll also be announcing an Apple Mac bounty, so anyone who can find security issues in macOS will get rewarded, sources claimed. Apple declined to comment.
Apple Will Provide Special iPhones For Hackers To Test And Offer Mac Bug Bounty, Sources Say – Forbes
Pre-Jailbreaken iOS and macOS
Forbesの情報源や一部のセキュリティ研究者等によると、特別仕様のiPhoneは市販のiPhoneに採用されているLocked-DownされたiOSではなく、通常禁じられているPre-JailbrokenレベルのiOSが搭載され、研究者らはプロセッサやメモリの脆弱性を調査することができるようで、
Apple では、iOS にハッキングソフトウェアをインストールしないよう強く警告しています。iOS の不正改造は iOS のソフトウェア使用許諾契約に違反しています。このため、不正なソフトウェアがインストールされている iPhone/iPad/iPod touch に対しては修理サービスを拒否する場合があります。
iOS の不正改造は、セキュリティの脆弱化、不安定化、バッテリー駆動時間の低下などの問題を引き起こすおそれがある – Apple Support
加えて、AppleはこれまでiOSにのみ適用してきた脆弱性を適切に報告することで、脆弱性の発見者がAppleから報奨金を受け取ることができる「Bug Bounty Program」をmacOSにも拡大するようです。AppleのBug Bounty Programについては今年02月、iOS 12.1.3のFaceTimeのグループ通話で受信側が応答する前に受信者の音を拾ってしまうバグを発見した14歳のGrant Thompsonさんに「Bug Bounty Program」に基づき、25,000ドル~の報奨金が支払われたのに対し、
同じく02月に18歳のLinus HenzeさんがmacOSのデフォルト・パスワードマネージャーである「Keychain」に保存されたパスワードをユーザーの承認なしに全て盗むことができる「KeySteal」脆弱性を発見した際にはプラットフォームがmacOSであることから報奨金が支払われることはなく、Linusさんはこれを不服として脆弱性をAppleに公開せずBug Bounty ProgramをmacOSにも適用するように求めていました。
KeySteal脆弱性の詳細を発表するLinus Henzeさん
その後、LinusさんはAppleにKeySteal脆弱性の詳細を送りましたが、Appleは2018年01月にも15年前からMac OS Xに存在し、Siguzaさんが数年前から報告していたローカルでのroot権限昇格の脆弱性を無視し続け、Bug Bounty Programの範囲外であることからSiguzaさんがゼロデイで公開すると翌月のセキュリティアップデートでこれを修正したことから、macOSにもBug Bounty Programを適用すべきだという意見が出ていました。
コメント
Bug Bounty Program自体は批判されてないでしょ
タイトルは「AppleはBug Bounty ProgramをmacOSにも適用するもよう。」とかにすべきじゃ?
批判されてようやく動くようじゃね。
良くなるとは思えないけど。