Firma Apple była wielokrotnie obecna na konferencjach Black Hat w Las Vegas, jej ludzie zawsze są na widowni, aby wziąć udział w prezentacjach, które się tam odbywają, jednak do tego roku ci z Cupertino nie zorganizowali własnej konferencji, aby dyskutować o bezpieczeństwie systemu operacyjnego iOS.
Wczoraj wieczorem Ivan Krstic, szef działu bezpieczeństwa Apple, omówił prace wykonane przez inżynierów z Cupertino w celu zabezpieczenia sprzedawanych przez Apple iDevices, na zakończenie konferencji zapowiedział także program, w ramach którego Apple będzie płacić za błędy wykryte w iOS .
W szczególności Apple zapłaci następujące kwoty za błędy wykryte w:
- Oprogramowanie sprzętowe bezpiecznego rozruchu: 200,000 XNUMX dolarów
- Wydobycie poufnego materiału chronionego przez procesor Secure Enclave: 100,000 XNUMX USD
- Wykonanie dowolnego kodu z uprawnieniami jądra: 50,000 XNUMX USD
- Nieautoryzowany dostęp do danych konta iCloud na serwerach Apple: 50,000 XNUMX USD
- Dostęp z procesu w piaskownicy do danych użytkownika poza tą piaskownicą: 25,000 XNUMX USD
Najwyższa kwota oferowana przez firmę Apple za luki wykryte w iOS to 200.000 100.000 dolarów za błąd, który pozwalałby na niepewne uruchomienie systemu operacyjnego, a jedynie XNUMX XNUMX dolarów za wydobycie danych z bezpiecznej enklawy, w której przechowywane są odciski palców użytkowników.
Choć ci z Apple'a poszli we właściwym kierunku i oferują pieniądze za luki, oferowane przez nich kwoty są znacznie niższe od tych płaconych przez agencje rządowe w różnych krajach, hakerzy uzyskali nawet ponad 1 milion dolarów za exploity wystarczająco dobre dla iOS.
Pomijając to, zwołano konferencję Apple Black Hat ZA KULISAMI BEZPIECZEŃSTWA IOS, a poniżej przedstawiłeś kilka ważnych punktów z niego wynikających:
Dzięki ponad miliardowi aktywnych urządzeń i dogłębnym zabezpieczeniom obejmującym każdą warstwę, od krzemu po oprogramowanie, Apple pracuje nad udoskonalaniem najnowocześniejszych zabezpieczeń mobilnych w każdej wersji systemu iOS. Omówimy trzy mechanizmy bezpieczeństwa iOS z niespotykanymi dotąd szczegółami technicznymi, oferując pierwszą publiczną dyskusję na temat jednego z nich jako nowego w iOS 10.
HomeKit, Auto Unlock i iCloud Keychain to trzy technologie Apple, które obsługują wyjątkowo wrażliwe dane użytkownika – sterowanie urządzeniami (w tym zamkami) w domu użytkownika, możliwość odblokowania komputera Mac użytkownika z poziomu Apple Watch oraz hasła użytkownika i dane karty kredytowej, odpowiednio. Omówimy projekt kryptograficzny i wdrożenie naszej nowatorskiej struktury bezpiecznej synchronizacji, która przenosi poufne dane między urządzeniami bez ujawniania ich Apple, zapewniając jednocześnie użytkownikowi możliwość odzyskania danych w przypadku utraty urządzenia.
Data Protection to system kryptograficzny chroniący dane użytkowników na wszystkich urządzeniach iOS. Omówimy procesor Secure Enclave obecny w urządzeniach iPhone 5S i nowszych oraz wyjaśnimy, w jaki sposób umożliwił on nowe podejście do wyprowadzania kluczy do ochrony danych i ograniczania szybkości transmisji metodą brute-force w małej bazie TCB, nie udostępniając żadnych kluczy pośrednich ani pochodnych zwykłemu procesorowi aplikacji.
Tradycyjne luki w przeglądarkach stają się coraz trudniejsze do wykorzystania ze względu na coraz bardziej wyrafinowane techniki ich ograniczania. Omówimy unikalny mechanizm wzmacniający JIT w iOS 10, który sprawia, że iOS Safari JIT jest trudniejszym celem.
