Apple invite les chercheurs à trouver des failles sur iPhone avec son programme pour 2024
Apple renouvelle son programme qui propose aux chercheurs d’avoir un iPhone 14 Pro avec plusieurs sécurités d’iOS désactivées (comme s’il était jailbreaké) pour trouver des failles. Le fabricant annonce aujourd’hui l’ouverture des candidatures pour l’édition 2024 du programme.
Sur son blog dédié à la sécurité, Apple annonce que les chercheurs ont pu trouver 130 failles critiques au niveau d’iOS. Cela a permis à Apple de les corriger avec des mises à jour. Rien qu’au cours des six derniers mois, il y a eu 37 failles signalées.
Naturellement, les chercheurs qui trouvent des failles de sécurité sont récompensés. Apple indique avoir versé plusieurs récompenses de 500 000 dollars. La récompense médiane est de 18 000 dollars.
Les chercheurs peuvent notamment utiliser un iPhone « jailbreaké » fourni par Apple pour :
- Installer et lancer des caches de kernel personnalisés
- Exécuter du code arbitraire avec n’importe quel droit, y compris en tant que plateforme et en tant que root en dehors de la sandbox
- Définir des variables NVRAM
- Installer et lancer des firmwares personnalisées pour le Secure Page Table Monitor (SPTM) et le Trusted Execution Monitor (TXM), qui sont nouveaux avec iOS 17
Si vous êtes un chercheur en sécurité et l’aventure vous tente, vous pouvez vous inscrire sur cette page. Apple accepte les demandes jusqu’au 31 octobre 2023. Le fabricant analysera ensuite les dossiers de chacun et choisira les chercheurs qui pourront participer au programme dès le début de 2024.
Peut être qu’un jour, le commun des mortels pourra aussi désactiver certaines fonctions de sécurité. Comme sur les Macs en fait… mais pour l’instant, ce sera via un jailbreak. C’est chiant mais pas impossible si on sait comment s’y prendre (en 2023 c’est surtout la préparation de l’appareil qui est important, vu que downgrader est difficile voire impossible maintenant).