Bajo el nombre de Apple Security Research Device Program, Apple cederá a ciertos investigadores y expertos en seguridad dispositivos con los que se facilitará que se puedan descubrir errores o fallos en la seguridad de los mismos.
Un iPhone con muchos más permisos
De forma predeterminada el sistema operativo instalado en los iPhone y los iPad está diseñado para impedir accesos no deseados. En la gran mayoría de casos esta medida es excelente para proteger nuestra seguridad y privacidad y la de los datos que almacenamos en el dispositivo, pero ¿y cuando queremos investigar fallos de seguridad? En esta posición se encuentran varios investigadores que, hasta ahora, han tenido que, cuando ha sido posible, valerse de herramientas externas de jailbreak o similares para tener un acceso con el que investigar más a fondo la seguridad del dispositivo.
Ahora, tal como Apple expone en su página para desarrolladores, esto va a cambiar:
Como parte del compromiso de Apple con la seguridad, este programa está diseñado para ayudar a mejorar la seguridad de todos los usuarios de iOS, traer más investigadores al iPhone y mejorar la eficiencia de aquellos que ya trabajan en la seguridad de iOS. Incluye un iPhone dedicado exclusivamente a la investigación de seguridad, con políticas únicas de ejecución y contención de código.
Con este nuevo programa los investigadores pueden solicitar lo que Apple ha llamado un SDR, Security Research Device, que podemos traducir como Dispositivo de Investigación de Seguridad. Con él, gracias a su software modificado, es posible, por ejemplo, acceder vía línea de comandos al dispositivo, además de ejecutar herramientas pensadas para la investigación. A parte de algunos permisos extra, los iPhone del programa se comportan exactamente igual que los iPhone disponibles para todos, con lo que se facilita que los expertos en seguridad analicen cuidadosamente el funcionamiento del dispositivo.
Los SDR se prestan por un período de 12 meses que se puede renovar y no están pensados para el uso diario; y los investigadores, así como Apple, establecen varios acuerdos respecto al descubrimiento y resolución de errores:
- Cuando un desarrollador encuentra un fallo de seguridad utilizando el SDR debe comunicarlo a Apple puntualmente. Si el error está en código de terceros comunicarlo a la empresa responsable. Si el fallo se encuentra sin utilizar el SDR Apple solicita (y recompensa) que se reporte el fallo aunque no sea obligatorio.
- Cuando se reporta una vulnerabilidad Apple da al desarrollador una fecha en la que se resolverá la situación. A partir de esa fecha el desarrollador podrá publicar sus hallazgos.
- Todas las vulnerabilidades encontradas gracias a unidades SDR entran automáticamente dentro del Apple Security Bounty, con lo que recibirán cuantiosas recompensas económicas.
Con este movimiento Apple pretende atraer aún más investigadores y expertos en seguridad para analizar de forma detenida el funcionamiento de iOS y de los iPhone. Gracias a este programa probablemente se puedan descubrir de forma aún más rápida y eficiente esos fallos de seguridad con lo que su impacto será mucho menor. Sin duda buenas noticias para Apple, para los investigadores y, sobre todo, para nosotros, los usuarios.
Ver 3 comentarios