Apple geeft iPhones met minder restricties aan beveiligingsonderzoekers

Apple deelt speciale iPhones uit aan beveiligingsonderzoekers. Het gaat om aangepaste hardware waarmee onderzoekers kwetsbaarheden kunnen vinden. De telefoons bieden meer mogelijkheden dan consumententelefoons, maar het programma heeft ook restricties.

iPhone voor beveiligingsonderzoekersDe apparaten zijn Security research devices. Apple deelt die uit aan een kleine groep beveiligingsonderzoekers. Zij kunnen de telefoons gebruiken om kwetsbaarheden in de software te vinden of om te testen. Daar zitten wel voorwaarden aan. Apple deelt de telefoons alleen uit aan onderzoekers die in het verleden gaten in iOS hebben gevonden, en ze moeten lid zijn van het Apple Developer Program. Ook zijn onderzoekers verplicht de gevonden bugs te melden via Apples bugbountyprogramma.

De iPhones zelf zijn altijd van het recentste model. Op de telefoons zijn de meeste beveiligingsfuncties uitgeschakeld. De telefoons geven niet alleen toegang tot software die op consumententelefoons niet te krijgen is, maar ook tot bepaalde aspecten van de hardware. Zo kunnen onderzoekers aan de gang met de Secure Enclaves op de chips. Dergelijke telefoons gaan rond op de zwarte markt en zijn veel geld waard.

Apple zei vorig jaar tijdens de Black Hat-conferentie al dat het speciale iPhones aan beveiligingsonderzoekers wil geven. Het bedrijf worstelt al jaren met hoe het beveiligingsonderzoekers tegemoet kan komen. Juist omdat roottoegang tot iPhones zo moeilijk te verkrijgen is, zijn zerodays in iOS veel geld waard, miljoenen euro's op de commerciële markt, terwijl Apple zelf minder betaalt via het bugbountyprogramma. Het bedrijf hoopt beveiligingsonderzoekers tegemoet te kunnen komen door hen gemakkelijker onderzoek te laten doen.

Door Tijs Hofmans

Nieuwscoördinator

23-07-2020 • 10:27

57

Reacties (57)

Sorteer op:

Weergave:

> Dergelijke telefoons gaan rond op de zwarte markt en zijn veel geld waard.

In het artikel gaat het om enkele duizenden dollars. Of ergens verderop 4-5 figures. En $1800 voor een dev-infused iPhone X.

Dus "veel geld" in deze context lijkt me wel mee te vallen? Zat te denken aan enkele tonnen of zelf miljoen als "veel geld" (wederom, in deze context).
De iPhones blijven eigendom van Apple. Je krijgt ze dus te leen. Je kan ze dus niet verkopen. Dat zou denk ik een conflict opleveren met Apple.
Maar een telefoon kan verdwijnen, diefstal, verdwijnen met de post, etc. Dus hoewel het niet mag gebeurt het zeker.
Dan zal de iPhone door Apple onbruikbaar gemaakt worden lijkt mij. Daar zullen ze vast en zeker iets voor achter de hand hebben.
Blijkbaar niet gezien het feit dat deze ook op de zwarte markt verkocht worden.
Een geblokkeerde dev phone zal niks opleveren.
Wellicht zijn die toestellen niet als gestolen opgegeven dus heeft Apple ze ook niet geblokkeerd. Uiteraard speculeer ik hier; maar we weten feitelijk niets van die toestellen.
Hangt net van de gewenste toepassing af.

Als jij gewoon onderzoek wilt doen naar de hardware en software dan gooi je hem in een kooi van faraday en dan kan apple niets meer blokkeren.

Apple kan het alleen blokkeren als jij de telefoon verbinding naar buiten laat maken, wat voor het meeste onderzoek totaal niet nodig is.
1800 voor iphone 6
maar 20000 voor iphone xr

als je het linkje in het artikel volgt kom je daar op uit
;-)
Nog steeds peanuts voor een bedrijf.
zodra deze telefoon is doorverkocht, vermoed ik dat ze op afstand onbruikbaar worden gemaakt. Met een eSIM kan het speciale software voor zorgen dat het G4 gedeelte altijd functioneert wanneer het toestel aanstaat.
niks wat een stukje alufolie op kan lossen.
Heb je het artikel gelezen? Dus niet.
"Dergelijke telefoons gaan rond op de zwarte markt en zijn veel geld waard."
Ruik ik een businesscase?

edit:
Het artikel op Vice beter gelezen en ik heb het idee dat de meeste zogenaamde hack en "root" software niet meer is dan test software uit de Foxcon fabrieken. Ook de hardware is niet zo indrukwekkend omdat in de proto-fase vaak de keys en protocollen nog niet geladen zijn.
De vraag blijft dus of je daar Secure Enclaves mee kan bestuderen.
Dit programma van Apple voor het uitdelen van gedeeltelijk "unlocked" devices belooft iets meer, maar zeker niet alles (wat in i.m.o. goed is).

[Reactie gewijzigd door pe0mot op 26 juli 2024 02:36]

-Verdiep je in beveiligingsonderzoek
-Vind een bug in Apple software/hardware
-Wordt erkent door Apple en word lid van het Developer Program
-Krijg een iPhone met minder restricties
-Verkoop deze en verdien eenmalig een paar duizend dollar
-Word uitgesloten van dit programma indien Apple erachter komt (zal wel zo zijn als iemand met een ander Apple account deze telefoon gebruikt)

Lijkt me niet echt een heel interessante business case
De hardware is geen case, inderdaad.
Wat je er mee kan misschien wel, zeker als je de gevonden gaatjes niet meldt.
Dan nog. Je wordt voor de rest van je carriere uitgekotst door de serieuze ICT wereld en je bent dus afhankelijk geworden van de georganiseerde misdaad. Ook niet echt een leuk vooruitzicht.
Dan nog. Je wordt voor de rest van je carriere uitgekotst door de serieuze ICT wereld en je bent dus afhankelijk geworden van de georganiseerde misdaad.
Want?
zeker als je de gevonden gaatjes niet meldt.
Het punt van niet melden is dat niemand dan weet dat jij het weet. Dus kun je ze anoniem verkopen.
Misschien dat je de speciale iOS versie eraf kan rippen.
Juist de speciale iOS versie zaliger niet zijn, anders is het zoeken naar bugs toch niet representatief?

Wellicht dan je er standaard een ‘Jailbreak’ op hebt waarmee je zelf een aangepaste iOS kunt flashen.
Het is een hardware aangepaste versie.
Lijkt me niet echt een heel interessante business case
Niet als het "veel geld" uit het artikel idd slechts een paar duizend dollar blijkt te zijn.
Wel als het daadwerkelijk "veel geld" is :)

Met 1 miljoen wordt de business case :
- Koop een bug in Apple software/hardware
- Laat een catvanger lid van het developer program worden en erkent worden.
- Krijg de iPhone met minder restricties
- Verkoop deze voor 1 miljoen
rinse and repeat als het geld op is (ok, ok praktisch zal je erg snel tegen limieten aanlopen, het is imho vrij onwaarschijnlijk dat er bijv in NL 10 van die telefoons zullen komen, misschien dat er hier in NL 1 onderzoeker is die diep genoeg gaat om een telefoon te krijgen, maar dat zal het wel zo ongeveer zijn)
Lijkt mij niet realistisch, katvangers bij bankrekeningen komen veel voor omdat quasi iedereen een bankrekening heeft.

Ik denk niet dat Apple die unlocked iPhones zal uitdelen zonder dat ze de security-referenties gecheckt hebben van die naiveling die zich zou laten vangen.
Het is al niet realistisch omdat het niet veel geld waard is...
Mocht het zo zijn dat beveiligingsonderzoekers kwetsbaarheden kunnen vinden in de Secure-Enclave dan zal dit grote veiligheidsrisico's met zich mee kan brengen wat betreft Face-ID / Touch-ID. Indien er kwetsbaarheden worden gevonden zal dit Apple pijn doen.

Apple heeft immers aangegeven dat alleen het eigen iOS toegang heeft tot de Secure-Enclave, en dat de biometrische data niet wordt gekopieerd naar de iCloud backup (het laatste weet ik niet zeker meer). Mocht een onderzoeker een kwetsbaarheid vinden waardoor het Secure-Enclave kan worden misbruikt kan dit potentieel veel opleveren voor kwaadwillenden.
Wat is nou het nut van telefoons zonder (of met minder) beveiligingsfuncties te laten onderzoeken, zijn het juist niet deze beveiligingsfuncties die onderzocht zouden moeten worden?

Consumenten hebben deze speciale telefoons ook niet in hun zak zitten, dus het is voor mij niet logisch dat ze toestellen met slechtere beveiliging gaan onderzoeken.
Als een device met minder beperking veilig is, is het met de beperkingen nog veiliger.
Dit is hetzelfde hoe security auditors werken: de sluiten een scanlaptop bij voorkeur aan de op de ToR switch (dus het sloten van de deuren van de datacenter en rack zijn al open, firewalls zijn al uit de keten), met het idee dat als je op die plek niet kunt inbreken het van een andere locatie zeker niet mogeljik is.
En met ToR bedoel je dan Top of Rack en niet The onion router ;)

Dat is meestal een aggregate switch die voor het hele rack netwerkverbinding met andere racks regelt. Die dingen hebben vaak enkele terabits aan capaciteit (met QSFP28 poorten van 100GB enzo)

(even voor de context).
Reguliere iPhones met stricte beveiliging heeft iedereen en kan iedereen onderzoeken. Als je iPhones beschikbaar stelt met minder stricte beveiliging en waar misschien ook wel delen van de broncode makkelijker is in te zien, zou het makkelijker moeten zijn om mogelijke kwetsbaarheden te vinden en die kunnen dan ook op reguliere telefoons getest worden.
Natuurlijk. Het is alsof je gaat schommelen zonder zekering. Want die zekering kan iedereen onderzoeken maar de dingen die kunnen gebeuren zonder die zekering zijn in dit speciale toestel pas goed te onderzoeken.
Diverse oude exploits werden gedaan via 'bekende' wegen, maar was bv maar half gepatched. Mogelijk dat Apple hier dus iets meer open heeft staan rond bij hun bekende wegen, om zo beter te kijken waar ze op een lager level dus exploits vinden.

Stel dat jij de laag onder de consumenten veiligheidslaag al niet meer in komt, dan is de consumentversie dus nog een stukje veiliger.
Ik vermoed dat je het zo kan zien... je wilt dat een inbreker test of hij je huis in kan komen als je alles goed opslot hebt zitten.
Maar je heb er een enorme schutting met prikkeldraad omheen staan... dan moeten ze die eerst open maken voor dat ze dus kunnen kijken of ze je huis in kunnen komen.
Die schutting zet je dan even voor ze open, zo dat ze daadwerkelijk kunnen kijken of ze je huis in kunnen komen. ipv eerst een halve dag bezig zijn om je enorme schutting open te breken.
Het is een vorm van Defence in Depth stimuleren. Je wil het liefst dat als je eerste beveilingsfunctie faalt omdat er een gaatje in blijkt te zitten een aanvaller stuk loopt op een tweede laag van beveiliging. Als externe onderzoekers alleen maar de eerste laag kunnen aanvallen kunnen ze zelden je tweede laag testen.
Ik ben benieuwd naar de regelingen die getroffen worden om er voor te zorgen dat de devices die Apple uitdeelt niet op de zwarte markt terecht komen. Natuurlijk hele zware overeenkomsten met de onderzoekers, maar misschien ook iets van hardware truukjes zoals trackers?

En alsnog een hoop vertrouwen richting de onderzoekers dat ze daadwerkelijk hun bevindingen delen, maar daarom doen ze het waarschijnlijk met "bewezen" mensen. Daarentegen hebben we bij de twitter hack weer eens gezien dat iedereen een prijs lijkt te hebben.
Daarentegen hebben we bij de twitter hack weer eens gezien dat iedereen een prijs lijkt te hebben.
Het is onzinnig om te speculeren welke vorm van social engineering is toegepast bij de twitter-hack. Omkoping is maar één manier en is vooralsnog niet bevestigd.

Verder ben ik het met je eens dat het interessant zou zijn om te weten hoe Apple deze toestellen van de zwarte markt probeert te houden. Trackers zou kunnen. Of bijvoorbeeld hardware expiration in de vorm van doorbranden van bepaalde chips nadat een teller x bootcycli heeft geteld of bv nadat een datum is bereikt (adhv een separate klok uiteraard).
De focus op security en privacy zijn voor mij al jaren een goede reden om voor een toestel van Apple te kiezen.
Wat ik mis in die focus is de open communicatie.. zoals met de recente 13.6 iOS versie. Je leest vanuit Apple wel welke leuke nieuwe features je krijgt, maar er wordt niet heel openlijk gecommuniceerd dat je eigenlijk wel moet updaten: https://www.security.nl/p...ldingen+en+audiobestanden
Wat ik mis in die focus is de open communicatie
Je bedoelt zoals deze pagina?

Bij elke update staat een linkje naar die pagina, ook die van iOS 13.6.
For information on the security content of Apple software updates, please visit this website: https://support.apple.com/kb/HT201222
En daar staat inderdaad dat er bij 13.6 problemen zijn gefixt met audio en afbeeldingen.
Er hoeft voor normale gebruikers ook niets gecommuniceerd te worden. Zowel iOS als MacOS updates worden automatisch geïnstalleerd, als je de standaardinstellingen aan hebt staan. Net als dat Chrome updates niet gecommuniceerd worden. Dat is voor 99% van de mensen prima.
Het is ieder geval fijn dat Google zijn best doet omdat zo te houden. :P
Kernel

Available for: iPhone 6s and later, iPad Air 2 and later, iPad mini 4 and later, and iPod touch 7th generation

Impact: An attacker that has already achieved kernel code execution may be able to bypass kernel memory mitigations

Description: An out-of-bounds read was addressed with improved bounds checking.

CVE-2020-9909: Brandon Azad of Google Project Zero

WebKit

Available for: iPhone 6s and later, iPad Air 2 and later, iPad mini 4 and later, and iPod touch 7th generation

Impact: A malicious attacker with arbitrary read and write capability may be able to bypass Pointer Authentication

Description: Multiple issues were addressed with improved logic.

CVE-2020-9910: Samuel Groß of Google Project Zero
Wel gek dan dat ze voor een zero click RCE tegenwoordig meer betalen dan voor zo'n zelfde exploit op iOS: nieuws: Zerodium-prijs Android-bug is met 2,5 miljoen dollar voor eerst hoger...

Wat ook erg "geinig" is, is dat iOS 13 tegenwoordig zo lek is, dat Zerodium helemaal geen sommige iOS exploits helemaal niet meer aankoopt: https://9to5mac.com/2020/...as-too-many-ios-exploits/

Maar goed, er staat zeker wel eens malware in de Playstore. :Y)

edit: @Q merkte terecht op dat bepaalde exploits nog wel aangekocht worden.

[Reactie gewijzigd door dehardstyler op 26 juli 2024 02:36]

Waar baseer je dat op?
In dit artikel van AppleInsiders komt het beter naar voren met wat tweets van de CEO van Zerodium:

https://appleinsider.com/...xploits-due-to-oversupply
iOS Security is fucked. Only PAC and non-persistence are holding it from going to zero...but we're seeing many exploits bypassing PAC, and there are a few persistence exploits (0days) working with all iPhones/iPads. Let's hope iOS 14 will be better. https://t.co/39Kd3OQwy1
— Chaouki Bekrar (@cBekrar) May 13, 2020

[Reactie gewijzigd door dehardstyler op 22 juli 2024 23:32]

Na mijn eerst bericht reageerde je direct als door een wesp gestoken door naar Google te gaan wijzen, dat was natuurlijk wel met een normale toon?

Maar goed, je hebt gelijk, was niet nodig. Mijn oprechte excuses.
Mijn oorspronkelijke post gaat over de keuze voor iOS vanwege de focus op security en privacy.
En dat is ook je goed recht. Ik ben alleen van mening dat de focus wat lijkt te verslapen, en daar is iOS 13 een voorbeeld van. Dit is gewoon echt niet op Apple's niveau. En dat is toch gewoon jammer?
Nee hoor, jouw reactie (lijst van sploits) was tongue in cheek en mijn reactie idem. Het is dus een beetje wat je in iemands reactie leest :D

Dat deze vulnerabilities zijn gevonden is zeker jammer.
Telefoons zijn zo goed als de mensen die ze maken.
De veiligheid is hiermee mede afhankelijk van beveiligingsonderzoekers buiten Apple.
Of het een voordeel, of juist een nadeel zal zijn is afhankelijk van de afzonderlijke leden binnen deze externe groep. En dat is zeker niet makkelijk om in goede banen te leiden.
Logisch dat ze er mee worstelen. Maar ook goed dat Apple niet hun eigen worst gaat keuren en dat ook overlaat aan mensen die er veel over weten.
Hopelijk heeft Apple het recht om je aan te klagen erin geplaatst als je testtelefoon voor andere doeleinden misbruikt, zoals doorverkopen, bug niet melden, enzovoort, waardoor je hoge boete of gevangenisstraf kunt krijgen.

Als Apple ZO slim was, moeten de testers op Apple terrein testtelefoon gaan testen, dan is de kans op misbruik VEEL minder.


.
Is dit een soort van getrapte open source aanpak die Apple hier hanteert?
Dit heeft niets met een wit voetje halen te maken. Iedere security audit gaat op een vergelijkbare manier. Als jij een security auditor inhuurt doe je dat ook alleen maar nadat ze hebben aangetoond ervaring te hebben met een specifieke omgeving. Je gaat mensen die goed zijn in het vinden van Android lekken niet vragen om een bedrijfsnetwerk door te lichten. Andersom ook niet. Dus dat Apple nu vraagt dan mensen aantoonbaar security issues in iOS hebben gevonden zorgt alleen maar voor een hogere kwaliteit. En dat ze verplicht zijn de findings te melden is ook alleen maar logisch. Zou wat zijn als security auditors resultaten achter mogen houden.
Daar zit wel een kanttekening bij: Apple's eigen bug bounty systeem heeft geen full-disclosure periode. Als Apple een bepaalde bug dus verzuimt te fixen dan heb je als onderzoeker geen alternatieve manier om een fix te forceren. Apple is hierin tot nu toe redelijk goed geweest, dus zo'n groot probleem is het niet, maar er is een goede reden dat bedrijven voortaan met deze standaard werken en dit is wel een terugval. Verschillende onderzoekers hebben dan ook aangegeven dat ze niet mee zullen doen aan dit programma, onder andere de technische leidinggevende bij Project Zero.
Nee hoor want als apple die security researchers die telefoons zou geven plus er nog een aantal weggeven aan random scriptkiddies en hackers die nog geen ervaring met ios hebben dan zouden ze meer feedback ontvangen.

Dit is gewoon een poging van apple hun walled garden nog verder te ommuren en tweakers copy paste gewoon de press release. zonder enige kritische noot over openheid en transparantie enzo. dankuwel DPG.

de kwaliteit gaat meestal niet omhoog door een club exclusiever te maken. Vooral het ledenaantal zal afnemen.

[Reactie gewijzigd door Verwijderd op 26 juli 2024 02:36]

Op dit item kan niet meer gereageerd worden.