Het Apple-bedrijf is herhaaldelijk aanwezig geweest op de Black Hat-conferenties in Las Vegas, de mensen zitten altijd in het publiek om deel te nemen aan de presentaties die daar plaatsvinden, maar tot dit jaar hielden degenen uit Cupertino geen eigen conferentie om over veiligheid te praten van het iOS-besturingssysteem.
Gisteravond besprak Ivan Krstic, het hoofd van de beveiligingsafdeling van Apple, het werk van de technici van Cupertino om de door Apple verkochte iDevices te beveiligen. Aan het einde van de conferentie kondigde hij ook een programma aan waarmee Apple geld zal betalen voor bugs die zijn ontdekt in iOS .
Concreet betaalt Apple de volgende bedragen voor bugs die worden ontdekt in:
- Firmware voor veilig opstarten: $ 200,000
- Extractie van vertrouwelijk materiaal beschermd door de Secure Enclave Processor: $100,000
- Uitvoering van willekeurige code met kernelprivs: $50,000
- Ongeautoriseerde toegang tot iCloud-accountgegevens op Apple-servers: $ 50,000
- Toegang vanuit een sandbox-proces tot gebruikersgegevens buiten die sandbox: $ 25,000
Het hoogste bedrag dat het bedrijf Apple biedt voor kwetsbaarheden die in iOS zijn ontdekt, is 200.000 dollar voor een bug waardoor het besturingssysteem onveilig kan opstarten, en er wordt slechts 100.000 dollar geboden voor het extraheren van gegevens uit de beveiligde enclave waar de vingerafdrukken van gebruikers zijn opgeslagen.
Hoewel die van Apple een stap in de goede richting hebben gezet en geld bieden voor kwetsbaarheden, zijn de door hen aangeboden bedragen veel lager dan de bedragen die door overheidsinstanties in verschillende landen worden betaald. Hackers krijgen zelfs meer dan 1 miljoen dollar voor exploits die goed genoeg zijn voor iOS .
Afgezien hiervan werd de Black Hat-conferentie van Apple bijeengeroepen ACHTER DE SCHERMEN VAN IOS-BEVEILIGING, en hieronder heb je enkele belangrijke punten daaruit gepresenteerd:
Met meer dan een miljard actieve apparaten en diepgaande beveiligingsmaatregelen die elke laag bestrijken, van silicium tot software, werkt Apple eraan om bij elke release van iOS de nieuwste stand van de techniek op het gebied van mobiele beveiliging te verbeteren. We zullen drie iOS-beveiligingsmechanismen bespreken met ongekende technische details, waarbij we de eerste publieke discussie aanbieden over een ervan die nieuw is in iOS 10.
HomeKit, Auto Unlock en iCloud Keychain zijn drie Apple-technologieën die omgaan met uitzonderlijk gevoelige gebruikersgegevens: het bedienen van apparaten (inclusief sloten) in het huis van de gebruiker, de mogelijkheid om de Mac van een gebruiker te ontgrendelen vanaf een Apple Watch, en de wachtwoorden en creditcardgegevens van de gebruiker. respectievelijk. We zullen het cryptografische ontwerp en de implementatie bespreken van ons nieuwe, veilige synchronisatiesysteem dat vertrouwelijke gegevens tussen apparaten verplaatst zonder deze aan Apple bloot te stellen, terwijl de gebruiker de mogelijkheid krijgt om gegevens te herstellen in geval van apparaatverlies.
Gegevensbescherming is het cryptografische systeem dat gebruikersgegevens op alle iOS-apparaten beschermt. We zullen de Secure Enclave Processor bespreken die aanwezig is in iPhone 5S en latere apparaten en uitleggen hoe deze een nieuwe benadering mogelijk maakte voor het afleiden van gegevensbeschermingssleutels en het beperken van brute force-snelheid binnen een kleine TCB, waardoor er geen tussenliggende of afgeleide sleutels beschikbaar zijn voor de normale applicatieprocessor.
Traditionele browsergebaseerde kwetsbaarheden worden steeds moeilijker te misbruiken als gevolg van steeds geavanceerdere mitigatietechnieken. We zullen een uniek JIT-verhardingsmechanisme in iOS 10 bespreken dat de iOS Safari JIT een moeilijker doelwit maakt.
