Beveiligingsonderzoeksbureau Corellium heeft maandag zijn nieuwe Open Security Initiative onthuld, dat onafhankelijk onderzoek naar de privacy en beveiliging van mobiele apps en apparaten zal ondersteunen. Het eerste doelwit is de controversiële CSAM-scanfunctie van Apple, die later dit jaar voor iPhone-gebruikers zal worden uitgerold.
Corellium zei dat het de toewijding van Apple om zichzelf verantwoordelijk te houden toejuicht, en het is van mening dat zijn platform van virtuele iOS-apparaten het beste is voor het ondersteunen van alle testinspanningen. Het hoopt dat onderzoekers het zullen gebruiken om "fouten in elk onderdeel" van Apple's functie aan het licht te brengen, wat zou kunnen worden gebruikt om "het systeem als geheel te ondermijnen en bijgevolg de privacy van iPhone-gebruikers te schenden en" veiligheid."
Corellium bouwt al lang virtuele iOS-apparaten die zijn ontworpen om het uitvoeren van beveiligingsonderzoek te vergemakkelijken. Het biedt "gejailbreakte" versies van de nieuwste iPhone-modellen, met de meest recente software van Apple, die in een webbrowser kan worden gebruikt. Ze helpen testen gemakkelijker en betaalbaarder te maken.
Tot voor kort vocht Apple om de virtualisatie-activiteiten van Corellium te sluiten. Maar de rechtszaak van 2019 tegen het bedrijf werd vorige week ingetrokken - ontwikkelingsexperts noemden een aanzienlijke overwinning voor beveiligingsonderzoek. Nu, om zijn vierde verjaardag te vieren, lanceert Corellium een nieuw initiatief dat hoopt onze mobiele apparaten nog veiliger te maken.
Corellium richt zich op Apple met Open Security Initiative
Met zijn nieuwe Open Security Initiative ondersteunt Corellium onafhankelijk onderzoek van derden naar mobiele apps en apparaten. Het biedt financiering en gratis toegang tot zijn virtualisatieplatform voor een jaar in een poging om "onderzoeksprojecten" te ondersteunen ontworpen om beveiligings- en privacyclaims voor elke mobiele softwareleverancier te valideren”, luidt de gepubliceerde aankondiging Maandag.
Een van de eerste doelen van Corellium is de onlangs aangekondigde CSAM-scanfunctie van Apple. Het is ontworpen om materiaal van kindermisbruik te detecteren dat is geüpload naar iCloud, maar voorstanders van privacy waarschuwen dat het heeft het potentieel om in de toekomst uit te breiden onder druk van de overheid. Apple heeft stond erop dat dit niet zal gebeuren, en het heeft onafhankelijk onderzoek verwelkomd dat zijn beveiligingsclaims zal verifiëren.
"Beveiligingsonderzoekers kunnen constant introspecteren wat er gebeurt in de [telefoon]software van Apple, dus als er wijzigingen zijn aangebracht die de reikwijdte van dit op de een of andere manier - op een manier die we hadden beloofd niet te doen - is er verifieerbaarheid, ze kunnen zien dat dat gebeurt," Apple SVP van Software Engineering Craig Federighi vertelde De Wall Street Journal.
"We juichen de toewijding van Apple toe om zichzelf verantwoordelijk te houden door externe onderzoekers", aldus Corellium. “Wij geloven dat ons platform bij uitstek in staat is om onderzoekers daarbij te ondersteunen.”
Anderen zouden het voorbeeld van Apple moeten volgen
“Onze ‘gejailbreakte’ virtuele apparaten maken geen gebruik van exploits en vertrouwen in plaats daarvan op onze unieke hypervisortechnologie. Dit stelt ons in staat om geroote virtuele apparaten te leveren voor dynamische beveiligingsanalyse, bijna zodra een nieuwe versie van iOS wordt uitgebracht. Bovendien biedt ons platform tools en mogelijkheden die niet direct beschikbaar zijn met fysieke apparaten.”
Corellium hoopt dat andere mobiele leveranciers het voorbeeld van Apple zullen volgen in "het bevorderen van onafhankelijke verificatie van beveiligings- en privacyclaims". Het Open Security Initiative is: ontworpen om belangrijk onderzoek naar mobiele privacy- en beveiligingsvalidatie aan te moedigen en te ondersteunen, en het roept nu op tot onderzoeksvoorstellen die deel zullen uitmaken van zijn initiële piloot.
Het bedrijf zal maximaal drie in aanmerking komende inzendingen een beurs van $ 5.000 en een jaar lang gratis toegang tot het Corellium-platform toekennen. U kunt details vinden over projectvereisten en hoe u zich kunt aanmelden in de aankondiging van Corellium.