Штатный хакер Apple лишился работы

Штатный хакер Apple лишился работы

Чарли Миллер (Charlie Miller), хакер который обнаружил более десятка критических уязвимостей в Apple Mac OS X и мобильных платформах Apple, лишился лицензии на разработку программного обеспечения, после того, как он обнародовал приложения, демонстрирующие серьезные ошибки в программном обеспечении новых iPhone и iPad.

В сентябре текущего года приложение InstaStock, разработанное Миллером, которое отслеживает цены акций на бирже в реальном времени, было добавлено в официальный перечень приложений в iTunes App Store. Однако 7 ноября 2011 года Миллер заявил, что приложение включает в себя секретный код, который позволяет обойти защиту устройств на базе ОС iOS.

В результате, хакер мог добавить некоторые функции в приложение, которые позволяют удаленно загружать фотографии и контакты, хранящиеся на устройстве iPhone и iPad с установленным InstaStock.

Через несколько часов после публикации данных о секретом коде, Миллер получил уведомление от Apple о его увольнении за нарушение программной лицензии, в которой указывалось, что хакер не будет: «искажать и скрывать функции, содержание, а также предоставляемые услуги» разработанных им приложений.

После лишения лицензии Миллер заявил: «У компании были все правовые основания для этого, но все же я думаю, что это немного грубо. Это будет препятствовать моей возможности повышать безопасность продуктов компании».

Обнаруженная Миллером уязвимость обхода подписи кода эксплуатирует изменения в iOS 4.3, которые позволяют выполнять неподписанный код в iPhone и iPad, загруженный с интернета. Изменения в операционную систему были внесены для повышения производительности Safari, чтобы позволить программе проводить своевременную компиляцию. Во избежание злоупотреблений изменениями, разработчики в некоторых случаях ограничили их для Safari.

Однако Миллеру все-таки удалось обнаружить брешь в iOS с внесенными изменениями. В результате, он мог легко внедрить собственный код в любое приложение из App Store, который, в свою очередь, обходил требования подписи кода, что позволяло осуществлять определенные атаки, в том числе предоставляло доступ к оболочке.

По словам Миллера, такая ошибка не должна присутствовать в устройствах типа iPhone. «Это служит доказательством того, что на iPhone можно установить вредоносное ПО».

Напомним, что Миллер был первым исследователем, которому удалось обнаружить уязвимость в iPhone, которую злоумышленники могут эксплуатировать удаленно. С ее помощью мошенники могли похищать текстовые сообщения, информацию из списка контактов, историю вызовов и сообщения голосовой почты. Миллер утверждает, что за последние 4 года он обнаружил десятки уязвимостей в платформах iOS и Mac OS X.


По материалам: www.securitylab.ru
Читайте также: