אָנוּ אמר לך לפני כמה שעות על פגיעות ה- iOS החדשה של גורו האבטחה צ'רלי מילר המאפשרת לאפליקציה מאושרת ב- App Store להריץ קוד בלתי חתום מרחוק. מילר פורץ את המוצרים של אפל במשך שנים, והבאג האחרון הזה הוא ניצול מגעיל במיוחד שיכול לשמש לכל מיני מטרות רעות.
אולם צ'רלי מילר הוא אחד הטובים, והוא מתכנן להציג את קלפיו בכנס SysCan בטייוואן בשבוע הבא. המטרות לא תמיד מצדיקות את האמצעים במקרה זה, מכיוון שאפל הוציאה כעת את מילר מתוכנית המפתחים של App Store ו- iOS.
בסדרה של ציוצים, הודיע מילר על ההחלטה המהירה של אפל לאסור אותו מעולם ה- iOS. מילר הוריד את הפריצה שלו באמצעות אפליקציה ישנה, בשם Instastock, שהגישה לחנות האפליקציות. בסרטון הוא הוכיח הפעלת קוד לא חתום מהשרת הביתי שלו באפליקציה שאושרה על ידי אפל.
הבאג כולל ניצול של קוד javascript ב- iOS שאפל לא הבטיחה מספיק במהדורה האחרונה של מערכת ההפעלה. אפל מתייחסת ל- iOS כיציבה יותר מתחרותיה, כמו אנדרואיד, ובאג מילר הזה גילה מהווה איום מסוכן על המערכת האקולוגית של חנות האפליקציות של אפל.
"עכשיו תוכל לקבל תוכנית ב- App Store כמו Angry Birds שתוכל להריץ קוד חדש בטלפון שלך שאפל מעולם לא הייתה לו אפשרות לבדוק", אומר מילר. "עם באג זה, לא תוכל להיות סמוך ובטוח שמשהו שאתה מוריד מחנות האפליקציות מתנהג יפה."
מאז פרסם את הסרטון המתאר את הפריצה שלו מוקדם יותר היום, אפל אסרה על מילר הן מחנות האפליקציות והן מתוכנת המפתחים. בחשבון הטוויטר שלו מילר התלונן כי "ראשית הם נותנים לחוקרים גישה לתוכניות מפתחים, (למרות ששילמתי עבור שלי) ואז הם מגרשים אותם. על מחקר. "
כחוקר אבטחה מכובד בעל רקורד של ניצול מוצרי אפל, אפשר להתווכח מילר יכול היה לדווח ישירות לאפל על הניצול במקום לשתול אפליקציה זדונית באפליקציה חנות. בצד השני של המטבע, זה אומר שמילר קיבל את האפליקציה שלו דרך צוות הביקורת של אפל מלכתחילה.
מה אתה חושב? האם הייתה הצדקה של אפל להסיר את מילר מחנות האפליקציות לחלוטין (במקום למשוך את אפליקציית Instastock במיוחד) ולהוציא אותו מתוכנית המפתחים של iOS?
