우리 몇 시간 전에 말했어 승인된 App Store 앱이 서명되지 않은 코드를 원격으로 실행할 수 있도록 하는 보안 전문가 Charlie Miller의 새로운 iOS 취약점에 대해 설명합니다. Miller는 수년 동안 Apple 제품을 해킹해 왔으며 가장 최근의 이 버그는 악의적인 목적으로 사용될 수 있는 특히 사악한 악용입니다.
그러나 Charlie Miller는 좋은 사람 중 하나이며 다음 주 대만에서 열리는 SysCan 컨퍼런스에서 자신의 카드를 보여줄 계획입니다. Apple이 이제 App Store 및 iOS 개발자 프로그램에서 Miller를 쫓아냈기 때문에 이 경우 목적이 항상 수단을 정당화하는 것은 아닙니다.
일련의 트윗, Miller는 Apple이 iOS 세계에서 그를 금지하기로 한 신속한 결정을 발표했습니다. Miller는 App Store에 제출한 Instastock이라는 슬리퍼 앱을 통해 해킹을 시연했습니다. 비디오에서 그는 Apple 승인 앱의 홈 서버에서 서명되지 않은 코드를 실행하는 것을 시연했습니다.
이 버그는 iOS의 최신 운영 체제 릴리스에서 Apple이 충분히 보호하지 못한 자바스크립트 코드를 악용하는 것과 관련이 있습니다. Apple은 iOS가 Android와 같은 경쟁 제품보다 더 안정적이라고 선전하며 이 버그 Miller 발견 Apple의 흠잡을 데 없는 App Store 생태계에 위험한 위협이 됩니다.
Miller는 "이제 Angry Birds와 같은 앱 스토어에서 Apple이 확인할 기회가 없었던 새로운 코드를 휴대폰에서 실행할 수 있는 프로그램을 가질 수 있습니다."라고 말합니다. "이 버그로 인해 App Store에서 다운로드한 모든 항목이 제대로 작동하는지 확신할 수 없습니다."
오늘 초 그의 해킹을 설명하는 비디오를 게시한 이후 Apple은 앱 스토어와 개발자 프로그램에서 Miller를 금지했습니다. Miller는 자신의 트위터 계정에서 "먼저 연구자들이 개발자 프로그램에 대한 액세스 권한을 부여하고(비록 내 비용을 지불했지만) 추방합니다.. 연구를 하기 위해."
Apple 제품을 악용한 실적이 있는 존경받는 보안 연구원으로서 다음과 같이 주장할 수 있습니다. Miller는 앱에 악성 앱을 심는 대신 Apple에 직접 익스플로잇을 보고할 수 있었습니다. 가게. 동전의 반대편에는 Miller가 처음에 Apple의 검토 팀을 통해 자신의 앱을 얻었다고 말하고 있습니다.
어떻게 생각하나요? Apple이 Miller를 App Store에서 완전히 제거하고(특히 Instastock 앱을 빼는 대신) iOS 개발자 프로그램에서 그를 추방한 것이 정당한가요?