The Dutch HackInfo

Information about Hacking, Security & Tweaking

1 1 1 1 1 1 1 1 1 1 Rating 5.00 (1 Vote)

appleApple heeft de bekende beveiligingsonderzoeker Charlie Miller uit het programma voor ontwikkelaars verbannen, omdat hij een beveiligingslek had ontdekt. Dat laat Miller zelf op Twitter weten. De Mac-hacker had een kwetsbaarheid in iOS ontdekt, het besturingssysteem voor de iPhone en iPad. Via het lek was het mogelijk om kwaadaardige apps in de Apple App Store te plaatsen, zonder dat Apple dit door had. 

 

Om te bewijzen dat het uitvoeren van ongesigneerde code mogelijk was, plaatste Miller zijn demo app in de App Store. De applicatie toont real-time beursinformatie, maar staat ook in verbinding met een server waardoor Miller het programma opdrachten kan geven, waaronder het bekijken van het adresboek. De controles die Apple uitvoert voorkomen het uitvoeren van ongesigneerde code op de iPhone, maar Miller weet dit via het lek te omzeilen. 

Miller is van plan om zijn ontdekking volgende week tijdens de SysCan conferentie in Taiwan te presenteren. "Nu heb je een programma in de App Store zoals Angry Birds dat nieuwe code op je telefoon kan uitvoeren die Apple nooit heeft kunnen controleren", aldus Miller. "Met deze bug kun je er niet meer zeker van zijn dat wat je van de App Store downloadt, zich ook netjes gedraagt."

Verbannen
Inmiddels heeft Apple de app uit de App Store verwijderd. Daarnaast werd Miller uit het iOS Developer programma gezet. Volgens 'Cupertino' was de kwaadaardige app in strijd met de licentievoorwaarden. De Mac-hacker kwam op het spoor van het lek toen Apple iOS 4.3 uitbracht. 

Om de werking van de browser te versnellen, stond Apple het toe om JavaScript van het web veel dieper in het geheugen te draaien dan bij vorige versies van het besturingssysteem het geval was. Apple had een uitzondering voor de browser gemaakt om niet goedgekeurde code in een gebied van het geheugen uit te voeren, wat tot dat moment onmogelijk was. Uiteindelijk vond hij een lek waardoor hij die uitzondering voor elke applicatie kon laten gelden.

Comments are now closed for this entry


Copyright © 2019. All Rights Reserved.