聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
苹果公司还希望改进系统安全性,并将其最高漏洞赏金提升至100万美元,条件是这些漏洞可攻陷“PCC的根本安全和隐私保证”。PCC 是一款云情报系统,用于对用户设备中的数据进行复杂的、不会攻陷隐私的AI处理。它通过端对端加密,确保只有用户能够访问(甚至苹果都无法访问)从苹果设备发送给PCC的个人数据。苹果公司发布PCC后,为安全研究员和审计人员开放访问权限,以便他们验证系统的隐私和安全前提。
苹果公司在博客文章中提到,目前PCC的访问权限已公开,任何好奇之士均可查看它的运行原理并检查是否与所承诺的相符。
苹果公司发布了《私有云计算安全指南》,解释了该架构和这些组件的技术详情及其运行方式。苹果公司还发布了虚拟研究环境 (VRE),在本地复刻了云情报系统,以便对其安全性和问题进行测试和发现。
苹果解释称,“VRE在虚拟机器中运行PCC节点软件,且改动非常小。用户空间软件与PCC节点的运行方式相似,启动流程和内核都为虚拟化进行了调整。”苹果还发布了相关的VRE安装文档。
VRE位于 macOS Sequia 15.1 Developer Preview中,需要具有苹果硅片和至少16GB的统一的存储内存。该虚拟环境中的可用工具可允许用户在隔离环境中启动 PCC 发布,修改和调试 PCC 软件,进行全面审查并对文档模式进行推测。
为便于研究人员工作,苹果公司决定为一些执行安全和隐私要求的 PCC 组件发布源代码:
CloudAttestation 项目:负责构建和验证 PCC 节点的证明。
Thimble 项目:包括在用户设备上运行的 privatecloudcomputed 守护进程,并使用 CloudAttestation 执行可验证的透明度。
Splunkloggingd 守护进程:过滤可从 PCC 节点传播的日志,防止数据的不慎披露。
Srd_tools 项目包含 VRE 工具,并可用于了解 VRE 如何运行 PCC 代码。
苹果公司还在安全奖励计划中纳入新的 PCC 类别,应对数据的不慎泄露、来自用户请求的外部攻陷,以及物理或内部访问权限。针对请求数据的远程攻击的最高奖励是100万美元,研究人员需要通过任意权限实现远程代码执行后果。如果演示如何获取用户请求数据或敏感信息的访问权限,则可获得25万美元的赏金。如果能以提升后的权限从网络执行相同的攻击,则可获得5万到15万美元的赏金。不过,苹果表示还考虑对PCC造成重大影响的漏洞,即使这些漏洞并未包含在漏洞奖励计划内。
苹果公司认为其“私有云计算是为云AI计算大规模部署的最高阶的安全架构”,但仍然希望借助研究人员进一步改进其安全性和隐私性。
https://www.bleepingcomputer.com/news/apple/apple-creates-private-cloud-compute-vm-to-let-researchers-find-bugs/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
如有侵权请联系:admin#unsafe.sh