Sikkerhedsforskningsfirmaet Corellium afslørede mandag sit nye Open Security Initiative, som skal støtte uafhængig forskning i privatlivets fred og sikkerhed for mobile apps og enheder. Dens første mål er Apples kontroversielle CSAM -scanningsfunktion, der skal rulles ud til iPhone -brugere senere på året.
Corellium sagde, at det bifalder Apples tilsagn om at holde sig ansvarlig, og det mener, at platformen med virtuelle iOS -enheder er bedst til at understøtte enhver testindsats. Det håber, at forskere vil bruge det til at afdække "fejl i enhver komponent" i Apples funktion, som kunne bruges til at "undergrave systemet som helhed og følgelig krænke iPhone -brugeres privatliv og sikkerhed."
Corellium har længe bygget virtuelle iOS -enheder designet til at gøre det lettere at udføre sikkerhedsforskning. Det tilbyder "jailbroken" versioner af de nyeste iPhone -modeller, der kører Apples seneste software, der kan bruges i en webbrowser. De hjælper med at gøre test lettere og mere overkommelig.
Indtil for nylig kæmpede Apple for at få Corelliums virtualiseringsvirksomhed nedlagt. Men retssagen mod firmaet i 2019 blev droppet i sidste uge - en udviklingseksperter kaldte en betydelig gevinst for sikkerhedsforskning. For at fejre fjerde års jubilæum lancerer Corellium et nyt initiativ, der håber at gøre vores mobile enheder endnu mere sikre.
Corellium retter sig mod Apple med Open Security Initiative
Med sit nye Open Security Initiative vil Corellium støtte tredjeparts, uafhængig forskning i mobilapps og -enheder. Det tilbyder finansiering og gratis adgang til sin virtualiseringsplatform i et år i et forsøg på at hjælpe “forskningsprojekter designet til at validere eventuelle krav til sikkerhed og fortrolighed for enhver mobilsoftwareleverandør, "lyder det i meddelelsen Mandag.
Et af Corelliums første mål er Apples nyligt annoncerede CSAM -scanningsfunktion. Det er designet til at opdage materiale, der misbruger børn, der er uploadet til iCloud, men fortalere for beskyttelse af fortrolige oplysninger advarer om, at det har potentiale til at blive udvidet i fremtiden under regeringens pres. Apple har insisterede på, at det ikke ville ske, og det har hilst velkommen uafhængig forskning, der vil verificere dets sikkerhedskrav.
"Sikkerhedsforskere er konstant i stand til at undersøge, hvad der sker i Apples [telefon] software, så hvis der blev foretaget ændringer, der skulle udvide omfanget af dette på en eller anden måde - på en måde, som vi havde forpligtet os til ikke at gøre - er der verificerbarhed, de kan se, at det sker, "Apple SVP for Software Engineering Craig Federighi fortalt The Wall Street Journal.
"Vi bifalder Apples forpligtelse til at holde sig ansvarlig over for tredjepartsforskere," sagde Corellium. "Vi mener, at vores platform er enestående i stand til at støtte forskere i den indsats."
Andre bør følge Apples ledelse
"Vores 'jailbroken' virtuelle enheder gør ikke brug af nogen bedrifter og er i stedet afhængige af vores unikke hypervisor -teknologi. Dette giver os mulighed for at levere forankrede virtuelle enheder til dynamisk sikkerhedsanalyse næsten så snart en ny version af iOS udgives. Derudover giver vores platform værktøjer og muligheder, der ikke er let tilgængelige med fysiske enheder. ”
Corellium håber, at andre mobilleverandører vil følge Apples eksempel med hensyn til "at fremme uafhængig verifikation af krav om sikkerhed og fortrolighed". Dets åbne sikkerhedsinitiativ er designet til at opmuntre og hjælpe vigtig forskning i mobil privatliv og sikkerhedsvalidering, og det efterlyser nu forskningsforslag, der vil være en del af dets første pilot.
Virksomheden vil give op til tre kvalificerede indsendelser et tilskud på $ 5.000 og gratis adgang til Corellium -platformen i et år. Du kan finde detaljer om projektkrav og hvordan du ansøger i Corelliums meddelelse.