Recompensele sunt comparabile cu cele oferite pentru iOS
Pe scurt: Apple spune că Private Cloud Compute este cea mai avansată arhitectură de securitate implementată vreodată pentru cloud AI compute la scară. Invitând controlul din partea comunității de cercetare în domeniul securității, Cupertino speră să creeze încredere în sistemul său și să-și îmbunătățească măsurile de securitate.
Apple a anunțat o extindere semnificativă a programului său de recompense pentru erori pentru a îmbunătăți securitatea viitorului său serviciu Private Cloud Compute, conceput ca o extensie a modelului său AI pe dispozitiv, Apple Intelligence. Acest serviciu bazat pe cloud își propune să gestioneze sarcini AI mai complexe, menținând în același timp confidențialitatea utilizatorilor.
Programul extins de recompense se concentrează pe trei categorii principale de amenințări: dezvăluirea accidentală a datelor, compromisul extern din cererile utilizatorilor și vulnerabilitățile de acces fizic sau intern. Mai exact, se concentrează pe execuția de cod de la distanță, extragerea datelor și atacurile bazate pe rețea, cu recompensă maximă de 1 milion de dolari acordată cercetătorilor care pot identifica exploit-uri care permit codului rău intenționat să ruleze de la distanță pe serverele sale Private Cloud Compute.
De asemenea, cercetătorii pot câștiga până la 250.000 USD pentru raportarea vulnerabilităților care permit extragerea informațiilor sensibile ale utilizatorului sau a solicitărilor trimise. Exploatările care accesează date sensibile ale utilizatorilor dintr-o poziție privilegiată în rețea ar putea aduce cercetătorilor până la 150.000 USD.
Apple a subliniat că recompensele pentru vulnerabilitățile Private Cloud Compute sunt comparabile cu cele oferite pentru iOS, având în vedere natura critică a garanțiilor de securitate și confidențialitate ale serviciului.
Pentru a sprijini această inițiativă, Apple oferă cercetătorilor resurse extinse pentru a inspecta și a verifica promisiunile de securitate și confidențialitate end-to-end ale Private Cloud Compute. Acestea includ un ghid cuprinzător de securitate care detaliază arhitectura și măsurile de securitate, un mediu de cercetare virtuală (VRE) care permite analiza directă a sistemului pe computerele Mac și accesul la codul sursă pentru componentele cheie conform unui acord de licență cu utilizare limitată.
Furnizarea acestor instrumente este un pas fără precedent pentru Cupertino, a spus Apple, care vizează construirea încrederii în sistem. A oferit deja auditorilor terți și cercetătorilor în domeniul securității selectați acces timpuriu la aceste resurse. „Astăzi punem la dispoziția publicului aceste resurse pentru a invita toți cercetătorii în materie de securitate și confidențialitate – sau orice persoană interesată și cu o curiozitate tehnică – să afle mai multe despre PCC și să efectueze propria verificare independentă a afirmațiilor noastre.”
VRE, care rulează pe Mac-uri cu siliciu Apple și cel puțin 16 GB de memorie unificată, oferă instrumente puternice pentru examinarea și verificarea lansărilor de software PCC, pornirea versiunilor într-un mediu virtualizat, efectuarea de inferențe față de modele demonstrative și modificarea și depanarea software-ului PCC pentru mai multe detalii. ancheta.
Apple a pus la dispoziție codul sursă pentru mai multe componente ale Private Cloud Compute care acoperă diverse aspecte ale implementării securității și confidențialității PCC. Acestea includ proiectul CloudAttestation, proiectul Thimble, daemonul splunkloggingd și proiectul srd_tools.
Apple a mai spus că va lua în considerare acordarea de recompense pentru orice problemă de securitate descoperită cu un impact semnificativ, chiar dacă nu se încadrează în categoriile publicate. „Vom evalua fiecare raport în funcție de calitatea a ceea ce este prezentat, de dovada a ceea ce poate fi exploatat și de impactul asupra utilizatorilor”, se spune.
