Apple エンジニアによる Black Hat Security Talk のフルビデオが公開されました

今月初め、Apple のセキュリティ エンジニアリング責任者 Ivan Krstic 氏は、世界的な InfoSec コミュニティ向けに企画された年次イベントである Black Hat Conference で 講演しました 。イベント中、Krstic氏はAppleのセキュリティについて語り、同社の新しいバグ報奨金プログラムを発表した。

Krstic 氏のブリーフィングは YouTube で完全版が公開されており、今朝 Black Hat YouTube チャンネルで「iOS セキュリティの舞台裏」というタイトルのビデオで共有されました。

講演の中で、Krstic氏は、他のiOSセキュリティ対策とともに、3つの主要なiOSセキュリティメカニズム（HomeKit、自動ロック解除、iCloudキーチェーン）を「前例のない技術的詳細」で取り上げている。

HomeKit、自動ロック解除、iCloud キーチェーンは、非常に機密性の高いユーザー データを処理する 3 つの Apple テクノロジーです。ユーザーの家のデバイス (ロックを含む) の制御、Apple Watch からユーザーの Mac のロックを解除する機能、ユーザーのパスワードとクレジット カード情報です。それぞれ。 Apple に機密データを公開することなくデバイス間で機密データを移動し、デバイスの紛失時にユーザーがデータを回復できるようにする、新しい安全な同期ファブリックの暗号設計と実装について説明します。

データ保護は、すべての iOS デバイス上のユーザー データを保護する暗号化システムです。 iPhone 5S 以降のデバイスに搭載されている Secure Enclave プロセッサについて説明し、それがデータ保護キーの導出と小規模な TCB 内でのブルート フォース レート制限に対する新しいアプローチを可能にし、通常のアプリケーション プロセッサで中間キーや導出キーを利用できないようにする方法を説明します。

従来のブラウザベースの脆弱性は、緩和技術がますます洗練されているため、悪用するのが難しくなってきています。 iOS Safari JIT をより困難なターゲットにする、iOS 10 の独自の JIT 強化メカニズムについて説明します。

Krstic のブリーフィングで最も注目すべき瞬間は 、Apple 史上初のバグ報奨金プログラム の発表であり、Apple ソフトウェアの脆弱性を発見した研究者に同社が最大 20 万ドルを支払うことになります。 Apple のバグ報奨金プログラムは、当初は数十人の研究者に限定されていましたが、今年 9 月に開始されます。