امکان درخواست دستگاه تحقیقات امنیتی SRD توسط محققان امنیتی iOS
اپل اخیرا اعلام کرد که محققان امنیتی iOS اکنون میتوانند تا پایان اکتبر برای دستگاه تحقیقات امنیتی (SRD) درخواست دهند. اما این دستگاهها دقیقا چه هستند و چه کاربردی دارند؟ در ادامه با این مطلب رسانه مدیاتی همراه باشید تا بیشتر در این باره بخوانید.
دستگاههای تحقیقات امنیتی ( SRDs ) چه هستند؟
این SRDها، همان iPhone 14 Pro هستند اما ویژگیهای امنیتی برای آنها غیرفعال شده است. با این دستگاهها افراد مجاز به دسترسی به شل ( Shell access ) هستند و میتوانند میزان آسیبپذیری را در یک پلتفرم قفل شده مجزا تشخیص دهند.
اپل این دستگاهها را به عنوان “نوع سخت افزاری ساخته شده ویژه” از دستگاههای آماده شده برای مصرف کننده توصیف میکند که ابزارهای مورد نیاز برای غیرفعال کردن پادمانهای امنیتی iOS داخلی را در اختیار محققان قرار میدهد.
همانطور که خود اپل نیز درباره SRDها میگوید: “دسترسی به پوسته در دسترس است و میتوانید هر ابزاری را اجرا کنید، حقوق خود را انتخاب کنید و حتی هسته را سفارشی کنید.”
یکی از ویژگیهای این دستگاهها این است که هر آسیبپذیری که با SRD کشف میکنید، بهطور خودکار برای Apple Security Bounty در نظر گرفته میشود.
کاربردهای دستگاههای تحقیقات امنیتی ( SRDs ) برای محققان
- امکان نصب و راهاندازی حافظه پنهان هسته سفارشی
- اجرا کردن کد دلخواه با هر حقی؛ از جمله بهعنوان پلتفرم و روت در خارج از sandbox
- تنظیم متغیرهای NVRAM
- نصب و راهاندازی سیستمافزار سفارشی برای نمایشگر جدول صفحه امن (SPTM) و نظارت بر اجرای مورد اعتماد (TXM) در iOS 17
چه کسانی میتوانند از SRDs استفاده کنند؟
اپل اعلام کرده است که تنها افرادی میتوانند از دستگاه تحقیقات امنیتی استفاده کنند که مجوز این کار را داشته باشند. همچنین چنین افرادی نمیتوانند از مرکز تحقیقات امنیتی نیز خارج شوند. در نتیجه افراد عادی قادر به استفاده از این دستگاهها نخواهند بود و در صورتی که مجاز و تایید شده باشند میتوانند از آن استفاده کنند.
برای درخواست دستگاه تحقیقات امنیتی یا همان SRD و یا دریافت مجوز، اپل تا ۳۱ اکتبر به محققان امنیتی فرصت داده است. این افراد از آن پس میتوانند تحقیقات خود را برای آیفون انجام دهند و برای جوایز Apple Security Bounty تلاش کنند. انتخاب محققان امنیتی توسط اپل نیز بر اساس سوابق محققان و اینکه تجربه تحقیقات امنیتی داشتهاند یا نه انجام خواهد شد. در نهایت تعداد محدودی از داوطلبین انتخاب و مشغول به تحقیق خواهند شد.
علاوه بر این، یک استثنا برای استفاده از SRDs وجود دارد و آن هم دانشگاهها هستند. دانشگاه در صورتی که بخواهند به عنوان وسیلهای کمک آموزشی در دورههای علوم کامپیوتر از این دستگاهها استفاده کنند، قادر به دریافت آنها خواهند بود.