TechNeate.com iPhoneate.com QueComico.com MiamiGlobalRadio.com

Apple lanza programa de investigación para encontrar vulnerabilidades

por jc/ 22 de julio del 2020 7:00 PM EDT
Apple Security

Apple ha lanzado un nuevo «Programa de dispositivos de investigación de seguridad de Apple». Qué proporcionará a los investigadores, un iPhone dedicado exclusivamente a la investigación de la seguridad.

Eso sí, este nuevo dispositivo traería consigo políticas únicas de ejecución, y contención de código. El año pasado, Apple dijo que proporcionaría a los investigadores de seguridad, acceso a iPhones «especiales» que les facilitaría encontrar vulnerabilidades y debilidades de seguridad.

Los iPhones que Apple está proporcionando a los investigadores de seguridad, están menos bloqueados que los dispositivos de consumo y harán más fácil encontrar graves vulnerabilidades de seguridad.

¿ Y cómo funciona?

El Dispositivo de Investigación de Seguridad (SRD), está destinado a ser utilizado en un entorno controlado para la investigación de seguridad solamente. El acceso a Shell está disponible, y usted podrá ejecutar cualquier herramienta y elegir sus derechos.

De lo contrario, el SRD se comporta lo más parecido posible a un iPhone estándar, para ser un objetivo de investigación representativo.

Los SRD se proporcionan por 12 meses renovables, y siguen siendo propiedad de Apple. No están destinados al uso personal o al transporte diario. Y deben permanecer en las instalaciones de los participantes del programa, en todo momento.

El acceso y uso de los SRD, debe limitarse a las personas autorizadas por Apple.

  • Si utilizas el SRD para encontrar, probar, validar, verificar o confirmar una vulnerabilidad, debes informar inmediatamente a Apple. Y, si el error se encuentra en el código de un tercero, al tercero correspondiente. Si no has utilizado la SRD para ningún aspecto de tu trabajo con una vulnerabilidad. Apple te recomienda encarecidamente (y te recompensa, a través de Apple Security Bounty) que informes de la vulnerabilidad, pero no estás obligado a hacerlo.
  • Si denuncias una vulnerabilidad que afecta a los productos de Apple, Apple te proporcionará una fecha de publicación. (normalmente la fecha en la que Apple publica la actualización para resolver el problema). Apple trabajará de buena fe para resolver cada vulnerabilidad tan pronto como sea posible. Hasta la fecha de publicación, no puedes comentar la vulnerabilidad con otros.

Elegibilidad y Requisitos:

La participación en el Programa de Dispositivos de Investigación de Seguridad, está sujeta a la revisión de su solicitud. La disponibilidad de los dispositivos es limitada. Los dispositivos no estarán disponibles para todos los solicitantes calificados en el período de solicitud inicial.

Los solicitantes calificados que no reciban un dispositivo durante este período. Serán considerados automáticamente, durante el próximo período de solicitud en el 2021. Para ser elegible para el «Programa de Dispositivos de Investigación de Seguridad», usted debe:

  • Ser titular o miembro de una cuenta en el Programa de Desarrolladores de Apple.
  • Tener un historial probado de éxito, en la búsqueda de problemas de seguridad en las plataformas de Apple, u otros sistemas operativos y plataformas modernas.
  • Estar ubicado en un país o región elegible.*

No eres elegible si:

  • Perteneces a la lista de personas o entidades denegadas, por el Departamento de Comercio de EE.UU. o en cualquier otra lista de partes restringidas.
  • No cuentas con la mayoría de edad legal, en la jurisdicción en la que reside (18 años de edad en muchos países).
  • Estás empleado por Apple actualmente, o en los últimos 12 meses.

Aquí, más detalles al respecto.