O πολύ γνωστός ερευνητής ασφαλείας Charlie Miller αποκάλυψε ότι βρήκε ένα νέο κενό ασφαλείας στο λογισμικό iOS που επιτρέπει σε μια εφαρμογή να τρέξει οποιοδήποτε (κακόβουλο) κώδικα.Πρέπει να σημειώσουμε ότι η Apple ελέγχει όλες τις εφαρμογές που υποβάλλονται στο App Store και δεν επιτρέπει την εκτέλεση μη εγκεκριμένου κώδικα.
Ο Miller κατάφερε και «έσπασε» αυτόν τον περιορισμό και μάλιστα δημιούργησε και μια εφαρμογή για να αποδείξει το εύρημά του.
Η Apple ενέκρινε την εφαρμογή στο App Store και ο Miller εκμεταλλεύτηκε το κενό ασφαλείας καταφέρνοντας να κλέψει τις φωτογραφίες από μια συσκευή, να αναπαράγει ήχους κτλπ.
Using his method–and Miller has already planted a sleeper app in Apple’s App Store to demonstrate the trick–an app can phone home to a remote computer that downloads new unapproved commands onto the device and executes them at will, including stealing the user’s photos, reading contacts, making the phone vibrate or play sounds, or otherwise repurposing normal iOS app functions for malicious ends.
Όπως ήταν λογικό η Apple αφαίρεσε την εφαρμογή από το Apple και απέβαλλε τον Miller από το πρόγραμμα των developers.
O Miller σκοπεύει να παρουσιάσει τα ευρήματά του στο συνέδριο SysCan στην Ταϊβάν την επόμενη βδομάδα και αναμένουμε από την Apple μια απάντηση επί του θέματοςThis letter serves as notice of termination of the iOS Developer Program License Agreement…between you and Apple…Effective immediately
Via:iphonehellas.gr Tweet
0 σχόλια:
Δημοσίευση σχολίου