Zanim aplikacja trafi do sklepu App Store jest weryfikowana przez zespół ekspertów z Apple. Jednak jak się okazało, bez problemów można umieścić w nim aplikacje zawierającą złośliwy kod. Firma zamiast podziękować za wykrycie luki wyrzuciła hakera z App Store.
Wiele osób uważa urządzenia z systemem iOS za bezpieczne, między innymi z powodu kanału dystrybucyjnego aplikacji. Znany haker, a raczej badacz, Charlie Miller udowodnił, że nie zapewnia to 100 procentowego bezpieczeństwa. Wcześniej odkrył on, że możliwe jest np. włamanie do akumulatora MacBooka.
Miller stworzył niepozorne narzędzie do śledzenia kursów akcji - InstaStock. W rzeczywistości, po instalacji i połączeniu z serwerem hakera możliwe było wykonywanie dowolnej funkcji na telefonie np. pobranie kontaktów. Aplikacja została przyjęta do App Store przez pracowników Apple, dzięki czemu możemy zobaczyć proces pobierania aplikacji i wykonywania niepodpisanego kodu:
Charlie Miller nie opublikował szczegółów błędów, by do wyjścia łatki inni nie wykorzystywali jego odkrycia do złych celów. Jednak nie wiadomo czy hakerzy sami nie odkryli już jak przeprowadzić atak.
Kontrowersyjne jest zachowanie firmy z Cupertino. Większość dużych firm takich jak np. Google dziękuje i płaci za wykrycie luki, co zrobiło Apple? Zablokowało Millerowi konto deweloperskie na rok. Przez to nie będzie mógł już dodawać nowych aplikacji do App Store. Zapewnienia, że luka mogła być wykorzystana jedynie na jego iPhone'ie niczego nie zmieniły.
Nie ma sposobu na sprawdzenie luki niż przetestowanie jej na urządzeniu. Zachowanie Apple jest dziwne, zwłaszcza że nie mówimy o osobie, która nie traktuje błędów w aplikacjach jako łatwego sposobu na zysk.
Więcej o bezpieczeństwie produktów Apple:
- Do akumulatora MacBooka można się włamać
- Apple: odszkodowanie za niechcianą lokalizację
- Zawody hakerskie Pwn2Own - pierwsze dwa dni
- Apple: iOS 5 złamany - jailbreak dostępny
Źródło: CNN, Forbes
Komentarze
6To bardzo proste i niezmiernie skuteczne podejście ze strony Apple. Swoje produkty reklamują jako wyjątkowo bezpieczne, zatem jeśli usuną lub zablokują konto osoby wykrywającej błędy, tanim kosztem zwiększą poziom bezpieczeństwa swoich produktów. Bowiem skoro nie widać problemu lub zagrożenia, to zapewne ono nie istnieje. Banalne, prawda ?
Ucierpią jedynie klienci, jednak w dzisiejszych czasach kto przejmuje się takim drobiazgiem jak dobro klienta ? Przecież są ich tysiące, miliony... To natomiat kojarzy mi się z hasłem : "Ludzie, jedzcie kupę ! Miliony much NIE mogą się mylić !" ;)
być może ich system wcale nie jest tak bezpieczny jak twierdzą a oni sami lub ich partnerzy korzystają z tego "błędu" hmm... NSA, CIA :E