На этой неделе компания Apple объявила об официальном запуске программы Security Research Device (SRD), которую анонсировали еще в прошлом году. В рамках этой инициативы избранным исследователям предоставят специальные версии iPhone.

У таких устройств отключено большинство функций безопасности, и инженеры Apple используют такие девайсы для поиска проблем (еще до окончательного одобрения прототипов и отправки устройств в массовое производство). Устройства будут иметь меньше ограничений, обеспечат более глубокий доступ к операционной системе и железу, и позволят специалистам обнаружить проблемы, которые нельзя  выявить на обычных iPhone. Ранее такие девайсы нередко попадали на черный рынок, где они продавались за немалые деньги, и порой оказывались в руках брокеров уязвимостей или продавцов 0-day.

Исследователям предлагается подать заявку на участие в SRD, причем для этого необязательно иметь некое профильное образование и кучу дипломов. Достаточно обладать подтвержденным опытом в сфере ИБ-исследований, причем не только iPhone, но и других устройств и ПО, включая Android, Windows и Linux.

Однако многих ИБ-экспертов смутили официальные правила программы. Если в прошлом году ИБ-сообщество лишь поприветствовало решение Apple расширить программу bug bounty и распространить среди специалистов специальные версии iPhone, теперь специалисты критикуют компанию и пишут, что не станут участвовать в подобном.

Основная проблема заключается в пункте правил SRD, который гласит:

В сущности, этот пункт предоставляет компании Apple полный контроль над процессом раскрытия уязвимостей. Именно производитель будет устанавливать дату публикации, после которой исследователям разрешат сообщать или публиковать что-либо о найденных в рамках SRD уязвимостях в iOS и iPhone. Из-за этого многие специалисты опасаются, что Apple будет злоупотреблять этим правом и задерживать важные обновления безопасности, откладывая дату публикации и не позволяя специалистам предать проблемы огласке.

Одним из первых на эту особенность правил обратил внимание руководитель группы Google Project Zero Бен Хокерс (Ben Hawkers). Он пишет в Twitter:

Сообщение Хокерса привлекло внимание других ИБ-исследователей, которые поддержали решение Google Project Zero. Так, о своем нежелании участвовать в программе на таких условиях уже заявили глава компании Guardian Уилл Страфач (Will Strafach), специалисты компании ZecOps, а также известный исследователь Axi0mX (автор эксплоита Checkm8).

Бывший глава по информационно безопасности в Facebook Алекс Стамос также подверг действия Apple критике. Он пишет, что если Apple удастся настоять на своем, навязать свои условия исследователям (а также выиграть судебный процесс против сервиса виртуализации iOS), то «можно попрощаться с результативными публичными исследованиями в области безопасности в США».

Издание ZDNet отмечает, что bug bounty программу Apple критиковали и ранее. К примеру, в апреле текущего года macOS- и iOS-разработчик Джефф Джонсон (Jeff Johnson) опубликовал серию сообщений в Twitter, где писал следующее: