Apple bringt offene iPhones für Sicherheitsforscher und fängt sich sofort Kritik ein (23. Juli 2020/15:12) Bild: Apple Googles Project Zero lehnt Teilnahme an der neuen Initiative aufgrund von problematischen Vorschriften ab Künftig soll es für Experten eigene "Security Research Devices" (SRD) geben, also "offene" iPhones bei denen zentrale Sicherheitssperren deaktiviert wurden. So gibt es auf diesen Geräten über eine Shell vollen Zugriff auf das System, auch Berechtigungen können nach Belieben verändert werden. Und natürlich lassen sich externe Apps problemlos installieren - alles Dinge von denen reguläre iPhone-User kaum mehr zu träumen wagen. Ziel dieser Initiative ist es das Aufspüren von Programmierfehlern und hier im besonderen von Sicherheitslücken zu vereinfachen. Eine erfreuliche Entwicklung also, und doch hält sich die Begeisterung in der Community darüber in Grenzen, und das liegt an den damit verbundenen Rahmenbedingungen. Wer über ein solches SRD eine Sicherheitslücke findet, verpflichtet sich dazu, diese an Apple zu melden, und geheim zu halten, bis Apple das "ok" zur Publikation gibt - also üblicherweise nachdem der Bug mit einer neuen iOS-Version gefixt wurde. Was manche Sicherheitsforscher aber nun verärgert: Dieses Stillschweigen ist mit keinerlei zeitlicher Frist versehen. Wenn Apple wollte, könnte es so Bugs auch monatelang geheimhalten, und die Entdecker könnten nichts dagegen tun. Genau das ist auch der Grund, warum Googles Project Zero eine Teilnahme an Apples Programm nun öffentlich ablehnt. Diese Regelung sei nicht mit der eigenen Policy kompatibel, die eine automatische Veröffentlichung aller Sicherheitslücken nach 90 Tagen vorsieht - eben um genau so eine Verschleppung durch den Hersteller zu verhindern.
|
https://ress.at/apple-bringt-offene-iphones-fuer-sicherheitsforscher-und-faengt-sich-sofort-kritik-ein-news23072020151249.html
© by RessServerWorks, 2024