A Apple anunciou na quarta-feira que agora está aceitando inscrições para o 2024 iPhone Security Research Device Program (SRDP).
Destinado a pesquisadores de segurança que buscam identificar vulnerabilidades em dispositivos móveis da Apple e ganhar recompensas por descobertas elegíveis, o programa SRDP foi lançado em 2019.
Desde a sua criação, o programa resultou na descoberta de 130 vulnerabilidades de gravidade crítica, com 37 identificadores CVE emitidos apenas nos últimos seis meses, Apple diz.
A gigante da tecnologia afirma que os relatórios recebidos como parte do programa a ajudaram a implementar novas mitigações em seus sistemas operacionais, inclusive em áreas como kernel e extensões de kernel e serviços XPC (ferramentas auxiliares para o mecanismo leve da Apple para comunicação básica entre processos).
Os pesquisadores de segurança aceitos no SRDP de 2024 receberão variantes de hardware especialmente construídas do iPhone 14 Pro, projetadas especificamente para pesquisas de segurança.
Esses iPhones, que a Apple chama de Dispositivos de Pesquisa de Segurança (SRDs), apresentam ferramentas e opções que permitem aos pesquisadores configurar ou desativar as proteções de segurança avançadas do iOS.
Esses dispositivos permitem que os pesquisadores instalem caches de kernel personalizados, executem código arbitrário com várias opções, alterem variáveis NVRAM e “instalem e inicializem firmware personalizado para Secure Page Table Monitor (SPTM) e Trusted Execution Monitor (TXM), novo no iOS 17”.
Os pesquisadores de segurança que relatam problemas identificados usando um SRD também são elegíveis para receber recompensas por meio do programa de recompensas por bugs da Apple.
“Estamos satisfeitos por termos recompensado mais de 100 relatórios dos nossos investigadores SRDP, com vários prémios que chegam aos 500.000 dólares e um prémio médio de quase 18.000 dólares”, afirma o gigante da tecnologia.
Todos os anos, a Apple fornece SRDs a um número limitado de pesquisadores de segurança que se inscrevem no programa e são selecionados com base em seu histórico, inclusive em outras plataformas.
Este ano, os pesquisadores interessados têm até 31 de outubro de 2023. A Apple afirma que notificará os participantes selecionados até o final do ano.
A Apple também está fornecendo SRDs para acadêmicos selecionados, para usá-los como ferramentas de ensino em aulas de pesquisa de segurança.