Vi fortalte det for et par timer siden om sikkerhedsguru Charlie Millers nye iOS -sårbarhed, der gør det muligt for en godkendt App Store -app at køre usigneret kode eksternt. Miller har hacket Apples produkter i årevis, og denne seneste fejl er en særlig uærlig udnyttelse, der kan bruges til alle slags onde formål.
Charlie Miller er dog en af de gode fyre, og han planlægger at vise sine kort til SysCan -konferencen i Taiwan i næste uge. Enderne berettiger ikke altid midlerne i denne sag, da Apple nu har smidt Miller ud af App Store og iOS Developer Program.
I en række af tweets, Meddelte Miller Apples hurtige beslutning om at forbyde ham fra iOS -verdenen. Miller demonstrerede sit hack via en sleeper -app, kaldet Instastock, som han sendte til App Store. I en video demonstrerede han at køre usigneret kode fra sin hjemmeserver på den Apple-godkendte app.
Fejlen indebærer at udnytte javascript -kode i iOS, som Apple ikke sikrede nok i den seneste version af operativsystemet. Apple fremhæver iOS som værende mere stabil end sin konkurrence, som Android, og denne fejl Miller
opdaget udgør en farlig trussel mod Apples uplettede App Store -økosystem."Nu kunne du have et program i App Store som Angry Birds, der kan køre ny kode på din telefon, som Apple aldrig havde mulighed for at kontrollere," siger Miller. "Med denne fejl kan du ikke være sikker på, at noget, du downloader fra App Store, opfører sig pænt."
Siden han lagde videoen op med sit hack tidligere i dag, har Apple forbudt Miller fra både App Store og Developer Program. På sin Twitter -konto klagede Miller over, at "Først giver de forskere adgang til udviklerprogrammer, (selvom jeg har betalt for mit), så smider de dem ud.. for at lave research. ”
Som en respekteret sikkerhedsforsker med en track record for at udnytte Apples produkter, kan man argumentere Miller kunne have rapporteret udnyttelsen til Apple direkte i stedet for at plante en ondsindet app i appen Butik. På den anden side af mønten fortæller det, at Miller i første omgang fik sin app gennem Apples reviewteam.
Hvad synes du? Var Apple berettiget til helt at fjerne Miller fra App Store (i stedet for at trække Instastock -appen specifikt) og smide ham ud af iOS Developer Program?