اپل جایزه یک میلیون دلاری برای آسیب‌پذیری‌های Private Cloud Compute گذاشت

Apple Intelligence تا حد امکان وظایف را به صورت محلی بر روی دستگاه‌های اپل پردازش می‌کند. با این وجود، وظایف پیچیده‌تر به قدرت پردازشی بیشتر و دسترسی به مدل‌های پیچیده‌تر نیاز دارند. اپل برای فراهم کردن دسترسی دستگاه‌های خود به این قدرت پردازشی اضافی در فضای ابری، Private Cloud Compute (PCC) را توسعه داده است.

اپل ادعا می‌کند که سیستم PCC با بهره‌گیری از تدابیر امنیتی و حفظ حریم خصوصی، از درخواست‌های محاسباتی پیچیده‌ای که برای Apple Intelligence ارسال می‌شوند، پشتیبانی می‌کند و مدل امنیتی دستگاه‌های خود را به فضای ابری گسترش داده است. برای تأیید قابلیت‌های امنیتی PCC، اپل در ابتدا به گروه منتخبی از محققان امنیت و حریم خصوصی اجازه داد تا سیستم را بررسی و تأیید کنند.

این کار با به اشتراک گذاشتن محیط تحقیقات مجازی PCC (VRE) با حسابرسان شخص ثالث و این محققان انجام شد. اکنون، اپل این منابع را عمومی می کند تا همه محققان امنیت و حریم خصوصی بتوانند تأیید مستقل خود را انجام دهند. اپل همچنین کد منبع بخش‌های کلیدی PCC را برای بازبینی عمومی منتشر کرده است:

• پروژه CloudAttestation که مسئولیت ایجاد و تأیید اعتبار گواهی‌های گره PCC را بر عهده دارد.
• پروژه Thimble شامل یک دیمون محاسباتی خصوصی ابری است که بر روی دستگاه کاربر اجرا می‌شود و از CloudAttestation برای اجرای شفافیت قابل تأیید استفاده می‌کند.
• شبح splunkloggingd، که گزارش‌های قابل انتشار از یک گره PCC را فیلتر می‌کند تا از افشای ناخواسته داده‌ها جلوگیری کند.
• پروژه srd_tools که شامل ابزار VRE است و می‌توان از آن برای فهمیدن نحوه فعال‌سازی اجرای کد توسط VRE استفاده کرد.

علاوه بر این، اپل اعلام کرده است که جایزه امنیتی خود را به شامل PCC نیز گسترش داده است. تمایل اپل به ارائه جوایز قابل توجه برای آسیب‌پذیری‌های PCC، تعهد آن به حفظ امنیت PCC را نشان می‌دهد.

اپل برای یافتن و اجرای کد دلخواه با دسترسی‌های دلخواه در PCC، تا 1 میلیون دلار جایزه پرداخت می‌کند. همچنین، اگر کسی مشکلی را کشف کند که به دسترسی به داده‌های کاربر یا اطلاعات حساس مربوط به درخواست‌های او خارج از حدود اعتماد منجر شود، اپل 250,000 دلار پرداخت خواهد کرد. اپل در پست وبلاگی خود اعلام کرده که PCC VRE اکنون در دسترس است:

از آنجا که به هرگونه آسیب به حریم خصوصی یا امنیت کاربران اهمیت فراوانی می‌دهیم، مشکلات امنیتی که بر PCC تأثیر قابل ملاحظه‌ای دارند را در نظر پاداش امنیتی اپل مد نظر قرار می‌دهیم، حتی اگر با دسته‌بندی‌های منتشر شده همخوانی نداشته باشند. ما گزارش‌ها را بر اساس کیفیت محتوای ارائه شده، امکان بهره‌برداری از آن و تأثیرش بر کاربران ارزیابی می‌کنیم.

با این اقدامات، اپل به دنبال ایجاد اعتماد و شفافیت درباره PCC است و تعهد خود را به حفاظت از حریم خصوصی و امنیت کاربران در محیط ابری تقویت می‌کند.