Vi fortalte deg det for et par timer siden om sikkerhetsguruen Charlie Millers nye iOS -sårbarhet som gjør at en godkjent App Store -app kan kjøre usignert kode eksternt. Miller har hacket Apples produkter i årevis, og denne siste feilen er en spesielt stygg utnyttelse som kan brukes til alle slags onde formål.
Charlie Miller er imidlertid en av de gode gutta, og han planlegger å vise kortene sine på SysCan -konferansen i Taiwan neste uke. Endene rettferdiggjør ikke alltid midlene i denne saken, ettersom Apple nå har sparket Miller ut av App Store og iOS Developer Program.
I en serie av tweets, Kunngjorde Miller Apples raske beslutning om å forby ham fra iOS -verdenen. Miller demok hacken hans via en sovende app, kalt Instastock, som han sendte til App Store. I en video demonstrerte han at han kjørte usignert kode fra hjemmeserveren sin på den Apple-godkjente appen.
Feilen innebærer å utnytte javascript -kode i iOS som Apple ikke sikret nok i den siste versjonen av operativsystemet. Apple fremhever iOS som mer stabil enn konkurrentene, som Android, og denne feilen Miller
oppdaget utgjør en farlig trussel mot Apples plettfrie App Store -økosystem."Nå kan du ha et program i App Store som Angry Birds som kan kjøre ny kode på telefonen din som Apple aldri hadde sjansen til å sjekke," sier Miller. "Med denne feilen kan du ikke være trygg på at noe du laster ned fra App Store oppfører seg pent."
Siden han la ut videoen som beskrev hacken hans tidligere i dag, har Apple utestengt Miller fra både App Store og Developer Program. På sin Twitter -konto klaget Miller på at "Først gir de forskere tilgang til utviklerprogrammer (selv om jeg betalte for min), så sparker de dem ut. for å forske. "
Som en respektert sikkerhetsforsker med god erfaring med å utnytte Apples produkter, kan man argumentere Miller kunne ha rapportert utnyttelsen til Apple direkte i stedet for å plante en ondsinnet app i appen Butikk. På den andre siden av mynten forteller det at Miller først fikk appen sin gjennom Apples reviewteam.
Hva tror du? Var Apple berettiget til å fjerne Miller helt fra App Store (i stedet for å trekke Instastock -appen spesifikt) og sparke ham ut av iOS -utviklerprogrammet?
