חברת מחקרי האבטחה Corellium השבוע הוכרז היא משיקה יוזמה חדשה שתתמוך במחקר ציבורי עצמאי על האבטחה והפרטיות של יישומים ניידים, ואחד הפרויקטים הראשונים של היוזמה יהיו תוכניות זיהוי ה-CSAM של אפל שהוכרזו לאחרונה.
מאז ההכרזה שלה מוקדם יותר החודש, התוכנית של אפל לסרוק אייפון ספריות התמונות של המשתמשים עבור CSAM או חומרי התעללות מינית בילדים זכו לתגובת נגד וביקורת ניכרת. רוב החששות נעו סביב האופן שבו ניתן להשתמש בטכנולוגיה המשמשת לזיהוי CSAM כדי לסרוק אחר סוגים אחרים של תמונות בספריית המשתמש, אולי לפי בקשת ממשלה מדכאת.
אפל תבדוק אם יש תמונות CSAM בספריית התמונות של משתמש על ידי השוואת ה-hash של תמונות של משתמש למסד נתונים של תמונות CSAM ידועות. החברה דחקה בתקיפות את הרעיון שהיא תאפשר לממשלות להוסיף או להסיר תמונות למסד הנתונים הזה, תוך שהיא מפריכה את האפשרות שהתגלמות שאינן CSAM עשויות להסומן אם יימצאו במאגר של משתמש. ספריית תמונות iCloud .
ב ראיון עם הוול סטריט ג'ורנל , סגן הנשיא הבכיר של אפל להנדסת תוכנה, קרייג פדריגי, אמר כי האופי במכשיר של שיטת זיהוי ה-CSAM של אפל, בהשוואה לאחרים כמו גוגל שמסיימים את התהליך בענן, מאפשר לחוקרי אבטחה לאמת את הטענה של החברה שמסד הנתונים של תמונות CSAM לא השתנו בטעות.
חוקרי אבטחה מסוגלים כל הזמן לבחון פנימה מה קורה בתוכנה של אפל, כך שאם נעשו שינויים כלשהם שעשויים להרחיב את ההיקף של זה בדרך כלשהי - באופן שהתחייבנו לא לעשות - יש אימות, הם יכולים לזהות שזה מתרחש.
היוזמה החדשה של Corellium, הנקראת 'Corellium Open Security Initiative', נועדה להעמיד את טענתו של פדריגי למבחן. כחלק מהיוזמה, קורליום תעניק לחוקרי אבטחה מענק של 5,000 דולר וגישה חופשית לפלטפורמת קורליום למשך שנה שלמה כדי לאפשר מחקר.
Corellium מאמינה שיוזמה חדשה זו תאפשר לחוקרי אבטחה, חובבים ואחרים לאמת את הטענות של אפל על שיטת זיהוי ה-CSAM שלה. חברת מחקרי האבטחה, שרק לאחרונה יישב את המחלוקת הארוכה שלה עם אפל , אומר שהוא מברך על 'מחויבותה של אפל לתת דין וחשבון על ידי חוקרים צד שלישי'.
אנו מקווים שספקי תוכנה ניידים אחרים ילכו בעקבות הדוגמה של אפל בקידום אימות עצמאי של תביעות אבטחה ופרטיות. כדי לעודד את המחקר החשוב הזה, עבור הפיילוט הראשוני הזה של יוזמת האבטחה שלנו, נקבל הצעות לפרויקטי מחקר שנועדו לאמת כל תביעות אבטחה ופרטיות עבור כל ספק תוכנה נייד, בין אם במערכת ההפעלה או ביישומי צד שלישי.
לחוקרי אבטחה ואחרים המעוניינים להיות חלק מהיוזמה יש להגיש מועמדות עד 15 באוקטובר 2021. פרטים נוספים ניתן למצוא באתר של קורליום .
רשום פופולרי