Firma badawcza Corellium ujawniła w poniedziałek nową inicjatywę Open Security, która będzie wspierać niezależne badania nad prywatnością i bezpieczeństwem aplikacji i urządzeń mobilnych. Jego pierwszym celem jest kontrowersyjna funkcja skanowania CSAM firmy Apple, która zostanie udostępniona użytkownikom iPhone'a jeszcze w tym roku.
Corellium powiedział, że pochwala zobowiązanie Apple do ponoszenia odpowiedzialności i uważa, że jego platforma wirtualnych urządzeń iOS najlepiej nadaje się do wspierania wszelkich wysiłków testowych. Ma nadzieję, że badacze wykorzystają go do wykrycia „błędów w dowolnym komponencie” funkcji Apple, która: może być wykorzystany do „podważenia systemu jako całości, a w konsekwencji naruszenia prywatności użytkowników iPhone’a i bezpieczeństwo."
Corellium od dawna buduje wirtualne urządzenia iOS zaprojektowane w celu ułatwienia prowadzenia badań nad bezpieczeństwem. Oferuje „jailbreakowane” wersje najnowszych modeli iPhone'a, z najnowszym oprogramowaniem Apple, które może być używane w przeglądarce internetowej. Dzięki nim testowanie jest łatwiejsze i bardziej przystępne.
Do niedawna Apple walczyło o zamknięcie biznesu wirtualizacji Corellium. Jednak jego pozew w 2019 r. przeciwko firmie został wycofany w zeszłym tygodniu – eksperci ds. rozwoju nazwali znaczącą wygraną w badaniach nad bezpieczeństwem. Teraz, aby uczcić swoją czwartą rocznicę, Corellium wprowadza nową inicjatywę, która ma na celu zwiększenie bezpieczeństwa naszych urządzeń mobilnych.
Corellium atakuje Apple w ramach Open Security Initiative
Dzięki nowej inicjatywie Open Security, firma Corellium będzie wspierać niezależne badania innych firm nad aplikacjami i urządzeniami mobilnymi. Oferuje finansowanie i bezpłatny dostęp do swojej platformy wirtualizacji przez rok, aby wesprzeć „projekty badawcze zaprojektowany w celu weryfikacji wszelkich roszczeń dotyczących bezpieczeństwa i prywatności dla dowolnego dostawcy oprogramowania mobilnego” – czytamy w opublikowanym ogłoszeniu Poniedziałek.
Jednym z pierwszych celów Corellium jest niedawno ogłoszona przez Apple funkcja skanowania CSAM. Jest przeznaczony do wykrywania materiałów przedstawiających wykorzystywanie dzieci przesyłanych do iCloud, ale obrońcy prywatności ostrzegają, że ma potencjał do rozbudowy w przyszłości pod presją rządu. Apple ma upierał się, że tak się nie stanie, i z zadowoleniem przyjął niezależne badania, które zweryfikują jej oświadczenia dotyczące bezpieczeństwa.
„Analitycy bezpieczeństwa są stale w stanie introspekcji tego, co dzieje się w oprogramowaniu [telefonu] firmy Apple, więc jeśli wprowadzono jakiekolwiek zmiany, które miały rozszerzyć zakres tego w pewien sposób – w sposób, którego zobowiązaliśmy się nie robić – jest weryfikowalność, oni mogą zauważyć, że tak się dzieje” – Apple SVP ds. Inżynierii Oprogramowania Craig Federighi powiedział Dziennik Wall Street.
„Doceniamy zobowiązanie Apple do ponoszenia odpowiedzialności przez zewnętrznych badaczy” — powiedział Corellium. „Wierzymy, że nasza platforma jest wyjątkowo zdolna do wspierania naukowców w tych wysiłkach”.
Inni powinni pójść w ślady Apple
„Nasze urządzenia wirtualne z „jailbreakiem” nie wykorzystują żadnych exploitów, a zamiast tego polegają na naszej unikalnej technologii hiperwizora. Dzięki temu możemy zapewnić zrootowane urządzenia wirtualne do dynamicznej analizy bezpieczeństwa niemal natychmiast po wydaniu nowej wersji iOS. Ponadto nasza platforma zapewnia narzędzia i możliwości, które nie są łatwo dostępne na urządzeniach fizycznych”.
Corellium ma nadzieję, że inni producenci telefonów komórkowych pójdą za przykładem Apple, „promując niezależną weryfikację roszczeń dotyczących bezpieczeństwa i prywatności”. Jego Inicjatywa Otwartego Bezpieczeństwa to zaprojektowany w celu zachęcania i wspierania ważnych badań nad walidacją prywatności i bezpieczeństwa urządzeń mobilnych, a teraz wzywa do składania wniosków badawczych, które będą częścią jego początkowej pilot.
Firma przyzna maksymalnie trzem kwalifikującym się zgłoszeniom grant w wysokości 5000 USD oraz bezpłatny dostęp do platformy Corellium przez okres jednego roku. Możesz znaleźć szczegółowe informacje na temat wymagań projektu i sposobu składania wniosków w ogłoszeniu Corellium.
