Nepodpisana koda na iNapravah
Mandi
8. nov 2011 ob 15:42:30
Heker in varnostni raziskovalec Charlie Miller je uspel zaobiti varnostni mehanizem na iNapravicah, ki zagotavlja poganjanje zgolj podpisane in odobrene kode iz AppStore-a. Kot razloži v priloženem videu, je mogoče z uporabo WebKit widgeta (brskalnika) s tretjega strežnika prenesti nepodpisano kodo in jo pognati. Ta koda lahko stori poljubne reči, npr. naloži zimzeleni glasbeni hit, pokrade kontakte iz imenika, naloži nove fotke, spremlja notifikacije .. in tako naprej. Podrobnosti bo razkril na prihajajoči konferenci SysCan na Tajvanu.
Za demonstracijo je v App Store prijavil konceptno aplikacijo InstaStock, ki naj bi služila zgolj prikazu borznih kotacij, v resnici pa je vsebovala njegov hek. Tradicionalno strogi Applovi ocenjevalci so jo spustili skoz in Miller je posnel kratek filmček z demonstracijo in ga postavil na YouTube. Od tu naprej žal ni šlo najbolj - Apple mu je le nekaj ur zatem odstranil aplikacijo iz AppStore-a, obenem pa še pobrisal razvijalski račun, ki ga potrebuje za objavo novih aplikacij in prejemanje zaslužkov iz prodaje obstoječih. Take shoot-the-messenger politike do varnostnih razvijalcev smo bili vajeni pred leti, danes pa je bolj redka in velja bolj ko ne za slabo prakso in PR. Podjetja so vesela raziskovalcev, posebej če jih pred objavo obvestijo in jim dajo čas za popravek (ti. white hat pristop), ker to prispeva k varnosti izdelka in onemogoča, da bi za napako vedeli samo nepridipravi in jo temu primerno izkoriščali. Miller še ni povedal, ali je Applu poslal obvestilo pred objavo posnetka, neodvisno od tega pa se zdi brisanje razvijalskega računa (ki je tudi plačljiv) pretirana poteza. Twitter že ni navdušen.
Jabolčne verjetno skrbi prav možnost namestitve nepotrjenih aplikacij brez potrebe po jailbrake-u.