Lo scorso mese di luglio Apple ha annunciato il lancio di un nuovo programma per dispositivi di ricerca sulla sicurezza, progettato in modo tale da fornire ai ricercatori degli iPhone appositamente configurati, dotati di esecuzione di codice e politiche di contenimento univoche per supportare la ricerca sulla sicurezza.
Oggi, dopo circa 5 mesi da quell’annuncio, Apple distribuendo i primi iPhone “speciali” ai ricercatori interessati: la società di Cupertino afferma che i dispositivi verranno “spediti immediatamente”. Secondo i termini del programma, i ricercatori di sicurezza che parteciperanno a questo programma riceveranno gli iPhone in prestito per un anno, anche se al termine del periodo di prestito sarà possibile estenderlo.
L’obiettivo del Security Research Device Program – questo il nome del programma di Apple, ndr – è migliorare ulteriormente la sicurezza di iOS. La società californiana ritiene che i contributi dei ricercatori sulla sicurezza aiuteranno l’azienda della “Mela morsicata” a raggiungere questo obiettivo, ovvero garantire una sicurezza sempre più alta per gli utenti. Apple ha fatto sapere di apprezzare molto la collaborazione con i ricercatori indipendenti, che starebbero “svolgendo un ottimo lavoro” sulle piattaforme dell’azienda del CEO Tim Cook.
Gli iPhone che Apple fornirà ai ricercatori sono meno “bloccati” rispetto ai dispositivi destinati invece ai consumatori: in questo modo sarà più semplice individuare le eventuali gravi vulnerabilità di sicurezza. I ricercatori non avranno bisogno di effettuare il jailbreak (la procedura che rimuove le restrizioni software imposte da Apple nei dispositivi iOS, iPadOS e tvOS, ndr) per effettuare ricerche e potranno quindi indagare sulle funzionalità di sicurezza della piattaforma. Inoltre, potranno eseguire qualsiasi strumento per testare il sistema operativo.
I partecipanti al programma hanno accesso ad un’ampia documentazione e a un forum dedicato con i tecnici Apple. Il Security Research Device Program si affianca al programma bug bounty, che prevede anche dei compensi per il lavoro svolto. I ricercatori che riusciranno ad individuare le eventuali vulnerabilità possono ricevere pagamenti fino a un milione e mezzo di dollari.
