SRD
Apple

アップルは今年7月にiOSセキュリティ研究者向けに特別仕様のiPhoneを貸し出す「アップルセキュリティ研究デバイスプログラム」を発表しましたが、プログラム参加者らが間もなく発送されると通知されたことが明らかとなりました。

本プログラムは2019年8月に、アップルが「ハッキング対策のための特別な権限をあらかじめ設定した」iPhoneをセキュリティ専門家に配布するとの予告を受けたかっこうです。2年越しに、ようやく実現することになります。

この特別仕様iPhone、通称SRD(Security Research Device)iPhoneは一般販売版分よりも制約がゆるく、深刻なセキュリティ脆弱性を見つけやすくしたものです。アップルは、本デバイスではシェルアクセスが提供され、権限(おそらくシステム全般を操作できるroot権限など)を選べるものの、それ以外は標準的なiPhoneと近い挙動をすると説明していました。つまり、いわゆる「脱獄」不要の、ハッカーに優しいiPhoneというわけです。

米MacRumorsによると、アップルは22日(米現地時間)の時点でSRD iPhoneを受け取る最初のセキュリティ研究者に通知しており、すぐに発送されると述べているとのことです。本デバイスは原則1年間の期限で研究者に貸し出され、希望すれば延長もできますが、あくまで所有権はアップルにあります。

SRDプログラム参加者は、発見した脆弱性を速やかに報告する義務があります。別に無償奉仕というわけではなく、参加者は同時にアップルのバグ報奨金プログラムにも参加でき、最高で100万ドルに上る賞金を受け取ることもできます。

ただSRD iPhoneの台数が限られているため、貸し出しはアップルプラットフォーム上でのセキュリティ問題を発見した実績ある研究者だけに限られています。とはいえ選考に漏れた応募者も、2021年の次回申請期間中に自動的に検討されるため、改めて申請し直さなくてもいい模様です。

アップル社内チームもiOSやmacOSのセキュリティには万全を期しているはずですが、最近も無線を通じて写真やメッセージにアクセスできる脆弱性の報告や、ジャーナリストらが政府関係者にiPhoneをハックされた疑いが浮上していました(いずれもiOS 14では対策済み)。在野のセキュリティ研究者との連携を密にすることで、アップルも認識していないゼロデイ脆弱性が減っていくのかもしれません。

Source:MacRumors