Für White Hats: Apple startet Sicherheitsprogramm mit ungeschützten iPhones
Mit dem Apple Security Research Device Program erhalten Experten erstmals ungesicherte Hardware, um früher auf Lücken zu stoßen.
Leichter rein mit Apples Dev Devices.
(Bild: M.Moira / Shutterstock.com)
Apple hat ein neues Programm für Sicherheitsforscher aufgelegt, das dabei helfen soll, Lücken im iPhone frühzeitig aufzuspüren. Künftig erhalten ausgewählte Security-Experten Zugriff auf sogenannte "Dev Devices". Diese Geräte verfügen nicht über die üblichen Sicherheitsmaßnahmen, die in Produktionshardware stecken, so dass Ansatzpunkte für mögliche Hacks leichter erkennbar sind. Bislang tauchten Dev Devices höchstens auf eBay oder in zwielichtigen Kreisen auf. Apples neuer Ansatz liefert die Geräte direkt an die Forscher.
iPhone für Hackerträume
Das neue Projekt hört auf den Namen Apple Security Research Device Program (ASRDP). Die ausgegebenen Geräte seien "exklusiv für die Sicherheitsforschung" gedacht, so der Konzern in der Beschreibung. Der Zugang ist auf Personen und Gruppen beschränkt, die Apple auswählt – entsprechend bittet der Konzern aktuell um Bewerbungen.
Neue Dev Devices mit Root-Zugang und ohne Schutz von zentralen Systemkomponenten sollen jährlich ausgegeben werden; offenbar passend zu Apples üblichem Releasezyklus für iPhones. Die Hardware wird für zwölf Monate vermietet und ist nur eingeschränkt verfügbar – wer in diesem Jahr kein Gerät mehr bekommt, wird automatisch in den Pool für nächstes Jahr aufgenommen.
Shell-Zugang, Root und mehr
Das Dev Device, das Apple selbst "Security Research Device" (SRD) nennt, kommt mit Shell-Zugang und erlaubt die Installation von Low-Level-Werkzeugen. Übliche Betriebssystemmaßnahmen, die das Ausführen beliebigen Codes verhindern, sind deaktiviert. Die Geräte sollen jenen entsprechen, mit denen auch Apples Sicherheitsteam arbeitet.
Mit dem Verleih der SRDs kommt allerdings eine spezielle vertragliche Regelung: Wer mit den Geräten Lücken entdeckt, muss diese zunächst direkt an Apple melden. Immerhin kommen hier die üblichen Bountys zum Tragen, die Apple regulär für verschiedene Klassen von Hacks zahlt. Dass Dev Devices an Sicherheitsforscher gehen sollen, hatte Apple bereits im vergangenen Jahr auf der Black Hat angekündigt. (bsc)
