Spesso e volentieri, tra l’annuncio e la disponibilità di un prodotto o un’iniziativa Apple non fa passare molto tempo, al più alcune settimane. Ci sono però delle eccezioni, il più delle volte per necessità, come la transizione dei Mac ai SoC Silicon, che richiederà ancora del tempo prima di entrare nel vivo. Salvo seri impedimenti, però, le tempistiche promesse vengono mantenute. Vale anche per il programma di dispositivi speciali per i ricercatori di sicurezza, annunciato quasi un anno fa. Apple aveva detto che sarebbe stato varato nel 2020 e così è: il Security Research Device Program ha fatto il suo debutto ufficiale nelle scorse ore.

Si tratterà di iPhone con caratteristiche particolari rispetto a quelli in commercio e sono tecnicamente un po’ più vicini a prototipi ed unità ad uso esclusivo interno in Apple che di tanto in tanto sono finiti in vendita attraverso canali riservati, con livelli d’accesso ai componenti hardware e software che su dispositivi comuni possono essere solo in parte ottenuti tramite strumenti con il jailbreak, soprattutto quando si tratta dei modelli più recenti. L’obiettivo dell’azienda di Cupertino è duplice proprio su entrambi i fronti: ridurre sia il ricorso a dispositivi che ufficialmente non dovrebbero essere venduti perché considerati da distruggere una volta finiti i test (nel caso dei prototipi) o di proprietà dell’azienda, sia l’utilizzo del jailbreak come mezzo per bypassare le limitazioni vigenti in iOS.

I Security Research Devices dispongono di una shell SSH e della possibilità di eseguire comandi come root, rendendo i loro utenti in grado di compiere azioni che normalmente non si riuscirebbero a fare; strumenti dedicati di debugging permettono inoltre di approfondire cosa avviene dietro le quinte nonché rinvenire eventuali falle di sicurezza. Ad ogni modo, il livello di accesso resta differente da quello dei succitati dispositivi circolanti underground e se si escludono i software aggiuntivi questi SRD si comporteranno come normalissimi iPhone, una scelta voluta di Apple al fine di renderli ambienti di prova quanto più realistici possibili per i ricercatori.

L’iniziativa non è solo costituita dal semplice prestito di un dispositivo per 12 mesi (la proprietà resta di Apple e la vendita è assolutamente vietata, così come la condivisione con individui non autorizzati), con possibilità di rinnovo. Gli iscritti avranno a disposizione documenti aggiuntivi ed un forum dedicato con canale diretto con gli ingegneri Apple; chi partecipa è inoltre invitato a segnalare le falle, potendo così concorrere alle ricompense del Bounty Program. Questi dispositivi non sono per tutti né lo saranno mai: le scorte sono limitate, solo per i residenti in un ristretto gruppo di nazioni (l’Italia è inclusa) e chi si propone non solo dev’essere regolarmente iscritto al Developer Program ma anche dimostrare di aver già rinvenuto in passato vulnerabilità nei prodotti Apple o in altre piattaforme rilevanti. Se non si verrà selezionati, nulla è perduto ma occorrerà attendere il 2021 per rientrare nel prossimo lotto.