Apple-företaget har flera gånger varit närvarande på Black Hat-konferenserna i Las Vegas, dess folk är alltid i publiken för att delta i presentationerna som äger rum där, men fram till i år höll de från Cupertino ingen egen konferens för att diskutera säkerhet av iOS-operativsystemet.
I går kväll diskuterade Ivan Krstic, chefen för Apples säkerhetsavdelning, arbetet som gjorts av Cupertinos ingenjörer för att säkra de iDevices som säljs av Apple, i slutet av konferensen tillkännagav han också ett program genom vilket Apple kommer att betala pengar för buggar som upptäckts i iOS .
Specifikt kommer Apple att betala följande belopp för buggar som upptäcks i:
- Firmware för säker start: $200,000 XNUMX
- Utvinning av konfidentiellt material skyddat av Secure Enclave Processor: $100,000 XNUMX
- Exekvering av godtycklig kod med kärna privs: $50,000 XNUMX
- Obehörig åtkomst till iCloud-kontodata på Apple-servrar: $50,000 XNUMX
- Åtkomst från en sandlådeprocess till användardata utanför den sandlådan: $25,000 XNUMX
Det högsta beloppet som erbjuds av Apple-företaget för sårbarheter som upptäckts i iOS är 200.000 100.000 $ för en bugg som skulle göra det möjligt för operativsystemet att starta osäkert, och endast XNUMX XNUMX $ erbjuds för att extrahera data från den säkra enklaven där det lagras användarfingeravtryck.
Även om de från Apple har tagit ett steg i rätt riktning och erbjuder pengar för sårbarheter, är beloppen som erbjuds av dem mycket lägre än de som betalas av statliga myndigheter i olika länder, hackare får till och med över 1 miljon dollar för utnyttjande som är tillräckligt bra för iOS.
Om man lämnar dessa åt sidan kallades Apples Black Hat-konferens BAKOM IOS SECURITY, och nedan har du presenterat några viktiga punkter från det:
Med över en miljard aktiva enheter och djupgående säkerhetsskydd som spänner över alla lager från kisel till mjukvara, arbetar Apple för att utveckla den senaste tekniken inom mobil säkerhet med varje version av iOS. Vi kommer att diskutera tre iOS-säkerhetsmekanismer i oöverträffad teknisk detalj, och erbjuda den första offentliga diskussionen om en av dem som är ny för iOS 10.
HomeKit, Auto Unlock och iCloud Keychain är tre Apple-teknologier som hanterar exceptionellt känslig användardata – styrning av enheter (inklusive lås) i användarens hem, möjligheten att låsa upp en användares Mac från en Apple Watch, och användarens lösenord och kreditkortsinformation, respektive. Vi kommer att diskutera den kryptografiska designen och implementeringen av vår nya säkra synkroniseringsstruktur som flyttar konfidentiell data mellan enheter utan att exponera den för Apple, samtidigt som användaren får möjligheten att återställa data vid förlust av enheten.
Dataskydd är det kryptografiska systemet som skyddar användardata på alla iOS-enheter. Vi kommer att diskutera den Secure Enclave-processorn som finns i iPhone 5S och senare enheter och förklara hur den möjliggjorde ett nytt tillvägagångssätt för dataskyddsnyckelhärledning och brute force-hastighetsbegränsning inom en liten TCB, vilket inte gjorde några mellanliggande eller härledda nycklar tillgängliga för den normala applikationsprocessorn.
Traditionella webbläsarbaserade sårbarheter blir svårare att utnyttja på grund av allt mer sofistikerade begränsningstekniker. Vi kommer att diskutera en unik JIT-härdningsmekanism i iOS 10 som gör iOS Safari JIT till ett svårare mål.
