Eine Firma, die gerade eine Apple-Klage überstanden hat, will Technik auf den Markt bringen, mit der Sicherheitsforscher leichter überprüfen können, ob sich der iPhone-Hersteller tatsächlich an seine Versprechen hält. Corellium, ein IT-Security- und Virtualisierungsspezialist, hat dazu nun die "Corellium Open Security Initiative" gestartet. Ziel ist es, Forschern Mittel an die Hand zu geben, die ein System-Auditing erleichtern. Erfolgreiche Bewerber bekommen kostenlos Zugriff auf die Device-Modeling-Plattform von Corellium, zudem gibt es ein Handgeld in Höhe von 5000 US-Dollar.

CSAM-Scanner als erstes Projekt

Erstes Vorhaben im Rahmen der Initiative ist die Überprüfung von Apples umstrittenem lokalen Kinderporno-Scanning auf dem iPhone, das mit iOS 15 (sowie iPadOS 15 auf dem iPad) eingeführt werden soll. Das System soll alle Bilder, die in iCloud hochgeladen werden, zuvor auf CSAM-Inhalte ("Child Sexual Abuse Material") überprüfen (mit Hilfe von Hash-Listen von Kinderschutzorganisationen).

Gibt es eine ausreichende Trefferanzahl, werden Apple sowie dann auch die Behörden alarmiert. Apple selbst hatte behauptet, dass die Technik "intrinsisch überprüfbar" sei, weil sie Teil der weltweit angebotenen Betriebssystem-Updates ist. Zudem will man künftig Root-Hash-Werte veröffentlichen, mit denen Nutzer prüfen können, ob die Listen manipuliert wurden.

Die Behauptungen von Apple validieren

Corellium erhofft sich nun Vorschläge von Sicherheitsforschern, die die Firma bis zum 15. Oktober entgegennimmt. Das Thema ist "Validating Vendor Security Claims", also die Validierung von Sicherheitsbehauptungen seitens der Hersteller. "Wir applaudieren Apples Vorhaben, sich von unabhängigen Forschern überprüfen zu lassen. Wir glauben, dass unsere Plattform für deren Unterstützung einzigartig positioniert ist."

Die virtuellen Geräte, die Corellium offeriert, sind bereits "Jailbroken", so die Firma, was die Überprüfung erleichtert. Das geschieht mit Hilfe einer proprietären Hypervisor-Technik, ohne dass Exploits verwendet werden müssten. Die gerooteten virtuellen Geräte könnten für "dynamische Sicherheitsanalysen" verwendet werden, schreibt das Unternehmen weiter. Die Überprüfung von Apples CSAM-System soll aber nur der Anfang sein. Corellium bietet auch virtuelle Android-Geräte. Apple hatte erst kürzlich eine außergerichtliche Einigung mit Corellium erzielt; zuvor war das Unternehmen wegen angeblicher iOS-Copyright-Verletzungen verklagt worden.

(bsc)