Apple がセキュリティ研究者に提供している iPhone は、消費者向けデバイスに比べてロックダウンが緩く、深刻なセキュリティ脆弱性を発見しやすくなります。
Apple によると、Security Research Device (SRD) はシェル アクセスを提供し、あらゆるツールや権限を実行できるが、それ以外は標準の
iPhone
と同様に動作します。 SRD は 12 か月の更新可能ベースでセキュリティ研究者に提供され、Apple の所有物のままになります。 SRD で発見されたバグは、Apple または関連するサードパーティに「速やかに」報告する必要があります。
SRD を使用して脆弱性を発見、テスト、検証、検証、または確認する場合は、直ちに Apple に報告し、バグがサードパーティのコードにある場合は適切なサードパーティに報告する必要があります。脆弱性に関する作業のいかなる側面にも SRD を使用していない場合、Apple は脆弱性を報告することを強く推奨します (そして Apple Security Bounty を通じて報酬を与えます) が、そうする必要はありません。
Apple 製品に影響を与える脆弱性を報告すると、Apple は公開日 (通常は Apple が問題を解決するアップデートをリリースする日) を提供します。 Apple は、各脆弱性をできるだけ早く解決するために誠意を持って取り組みます。公開日までは、この脆弱性について他の人と話し合うことはできません。
Apple は Security Research Device Program への
申し込みを受け付け
ています。要件には、Apple Developer Program に参加していること、Apple プラットフォーム上のセキュリティ問題を発見した実績があることが含まれます。
プログラムに参加すると、広範なドキュメントと Apple エンジニアとの専用フォーラムにアクセスできるようになり、Apple は
TechCrunch
に対し、このプログラムは共同作業であることを望んでいると語った。
Security Research Device Program はバグ報奨金プログラムと並行して実行され、ハッカーは Apple にバグ報告を提出すると、最大 100 万ドルの支払いを受け取ることができ、最悪の脆弱性に対してはボーナスも得られる可能性があります。
