חברת מחקר האבטחה Corellium חשפה ביום שני את יוזמת האבטחה הפתוחה החדשה שלה, שתתמוך במחקר עצמאי של הפרטיות והאבטחה של אפליקציות והתקנים ניידים. היעד הראשון שלה הוא תכונת סריקת ה- CSAM השנויה במחלוקת של אפל, שעתידה להתפרסם למשתמשי אייפון בהמשך השנה.
קורליום אמרה כי היא מברכת על מחויבותה של אפל לשאת באחריות, והיא סבורה כי פלטפורמת מכשירי iOS וירטואליים היא הטובה ביותר לתמיכה בכל מאמצי הבדיקה. הוא מקווה שחוקרים ישתמשו בו כדי לחשוף "שגיאות בכל רכיב" של התכונה של אפל, אשר יכול לשמש כדי "לערער את המערכת כולה, וכתוצאה מכך לפגוע בפרטיות משתמשי iPhone בִּטָחוֹן."
Corellium בונה כבר מזמן מכשירי iOS וירטואליים שנועדו להקל על ביצוע מחקר אבטחה. הוא מציע גרסאות "jailbroken" של דגמי האייפון העדכניים ביותר, המריצים את התוכנה העדכנית ביותר של אפל, שניתן להשתמש בהם בדפדפן אינטרנט. הם עוזרים להפוך את הבדיקה לקלה יותר ובמחיר סביר יותר.
עד לאחרונה נלחמה אפל על סגירת עסקי הווירטואליזציה של קורליום. אך תביעתה נגד החברה בשנת 2019 נפסלה בשבוע שעבר - מומחי פיתוח קראו לזכייה משמעותית במחקר אבטחה. כעת, לציון יום השנה הרביעי, Corellium משיקה יוזמה חדשה שמקווה להפוך את המכשירים הניידים שלנו לאבטחים עוד יותר.
Corellium מכוונת לאפל עם יוזמת האבטחה הפתוחה
עם יוזמת האבטחה הפתוחה החדשה שלה, Corellium תתמוך במחקר של צד שלישי, בלתי תלוי, באפליקציות ומכשירים ניידים. היא מציעה מימון וגישה חופשית לפלטפורמת הווירטואליזציה שלה למשך שנה אחת במאמץ לסייע ל"פרויקטים מחקריים נועד לאמת כל טענות אבטחה ופרטיות עבור כל ספק תוכנה ניידת ", נכתב בהודעה שפורסמה יוֹם שֵׁנִי.
אחת המטרות הראשונות של קורליום היא תכונת סריקת ה- CSAM שהוכרזה לאחרונה על ידי אפל. הוא נועד לאתר חומרים של התעללות בילדים שהועלו ל- iCloud, אך תומכי פרטיות מזהירים זאת יש פוטנציאל להרחבה בעתיד תחת לחץ ממשלתי. לאפל יש התעקש שזה לא יקרה, והיא בירכה על מחקר עצמאי שיאמת את טענות האבטחה שלה.
"חוקרי האבטחה מסוגלים כל הזמן להתבונן פנימה בנעשה בתוכנת [הטלפון] של אפל, כך שאם יבוצעו שינויים שיגדילו את היקף זה בדרך כלשהי - באופן שהתחייבנו שלא לעשות - יש אימות, הם יכולים לזהות שזה קורה ", סמנכ"ל Apple בהנדסת תוכנה קרייג פדרגי סיפר הוול סטריט ג'ורנל.
"אנו מברכים על מחויבותה של אפל לתת דין וחשבון על ידי חוקרים של צד שלישי", אמר קורליום. "אנו מאמינים שהפלטפורמה שלנו מסוגלת באופן ייחודי לתמוך בחוקרים במאמץ זה."
אחרים צריכים ללכת לפיה של אפל
"המכשירים הווירטואליים 'השבורים' שלנו אינם עושים שימוש במעללים כלשהם, ובמקום זאת מסתמכים על טכנולוגיית ההיפר -וייזר הייחודית שלנו. זה מאפשר לנו לספק מכשירים וירטואליים מושרשים לניתוח אבטחה דינאמי כמעט ברגע שיוצאת גרסה חדשה של iOS. בנוסף, הפלטפורמה שלנו מספקת כלים ויכולות שאינן זמינות במכשירים פיזיים. "
קורליום מקווה כי ספקי סלולר אחרים ילכו לפי הדוגמה של אפל ב"קידום אימות עצמאי של תביעות אבטחה ופרטיות ". יוזמת האבטחה הפתוחה שלה היא נועד לעודד ולסייע למחקרים חשובים בנושא פרטיות ניידת ואימות אבטחה, וכעת הוא קורא להצעות מחקר שיהוו חלק מההתחלה הראשונית שלו טַיָס.
המשרד יעניק עד שלוש הגשות מתאימות מענק של $ 5,000 וגישה חופשית לפלטפורמת Corellium למשך שנה אחת. תוכל למצוא פרטים על דרישות הפרויקט וכיצד להגיש מועמדות בהודעת קורליום.