Apple entzieht Sicherheitsexperten die iOS-Entwicklerlizenz
Der bekannte Sicherheitsexperte Charlie Miller, der bereits von Apple persönlich gebeten wurde, sich beispielsweise mal Mac OS X, Lion unter Sicherheitsaspekten etwas genauer anzuschauen, wurde nun die iOS-Entwickler-Lizenz entzogen.
Der Sicherheitsexperte hat ein Sicherheitsleck der neuen iOS-Version aufgedeckt und zeigte Apple diese auf einem Weg, den das Unternehmen offensichtlich nicht geviel.
Unsignierten Code nachladen und ausführen
Normalerweise führt Apples iOS nur Anwendungen aus, die eine eindeutige Signatur haben. Diese erhalten Apps nur, wenn sie den Validierungsprozess beim App-Store bestanden haben.
Charlie Miller hat nun eine Möglichkeit gefunden, dieses zu umgehen und eigenen unsignierten Code auf dem iOS laufen zu lassen.
Dies ermöglicht eine Sicherheitslücke in der Nitro JavaScript-Engine des Safari-Browsers der iOS-Version 4.3. Um Javascript-Code schneller auszuführen, wird dieser in einer tieferen Speicherebene ausgeführt, was aber leider auch dazu führt, dass Hacker auch nicht authorisierte Prozesse starten können.
Hierauf hat Charlie Miller auf einem ungewöhnlichen Weg darauf hingewiesen. Er hat eine kleine Börsenticker-App bei Apple hochgeladen, die diesen unsignierten Code nachladen kann. Diese App schaffte nun sogar durch den Review-Prozess von Apple und gelangte in den App-Store.
In dem folgenden Video zeigt der Sicherheitsexperte, wie er mit dieser App unsignierten Code nachlädt, um z.B. ein YouTube-Video aufzurufen. Später zeigt er noch wie er per Fernzugriff verschiedene Befehle direkt an das iPhone sendet und so beispielsweise den Vibrationsalarm ausführt.
Kein Dank von Apple
Aber anstatt eines Dankes, dass Charlie Miller nicht groben Unfug mit diesem Wissen anstellte, sondern den Hersteller über diesen, zugegeben etwas ungewöhnlichen Weg, informierte, hat Apple sehr wütend reagiert und entfernte nicht nur seine App aus dem App-Store (was klar war), sondern sie entzogen dem Experten auch gleich die ganze iOS-Entwicklerlizenz
Das ist eine wirklich seltsame Art Dank zu zeigen. Aber auch Miller war über die Aktion natürlich auch alles andere als erfreut.
Was haltet Ihr von der Geschichte?
-
Data Driven Optimization: Wie Du mit Datenanalysen Deine Games verbessern kannst
Kennst Du den Spruch „Daten sind das Gold des 21. Jahrhunderts“? Viele denken dabei nur -
Warum die neuen Unity Zertifikate für Dich wichtig werden könnten
Auf der diesjährigen GDC hat Unity Technologies mitgeteilt, dass es ab sofort ein Zertifizierungsprogramm
About Author
Carsten
Carsten ist seit mehreren Jahren als Spieleentwickler und Softwareentwicklung tätig. Er ist Gründer von hummelwalker.de und Autor des Buches "Spiele entwickeln mit Unity".
Solche aktionen sind die Gründe warum ich Apple nicht ausstehen kann.
Apple reagiert viel zu hart.
Er hat sie ja darauf hin gewiesen, nur auf einem seltsamen Weg.
Ich finde das sehr hart, aber so ist Apple nun mal (ähnlich wie Sony). Allerdings war der Weg schon SEHR ungewöhnlich. Er hat sozusagen ein Schadprogramm geschrieben, was Apple natürlich nicht dulden kann, auch wenn es ja nichts schlimmes tat.