App Store: do sklepu można dodać złośliwe aplikacje

Zanim aplikacja trafi do sklepu App Store jest weryfikowana przez zespół ekspertów z Apple. Jednak jak się okazało, bez problemów można umieścić w nim aplikacje zawierającą złośliwy kod. Firma zamiast podziękować za wykrycie luki wyrzuciła hakera z App Store.

Wiele osób uważa urządzenia z systemem iOS za bezpieczne, między innymi z powodu kanału dystrybucyjnego aplikacji. Znany haker, a raczej badacz, Charlie Miller udowodnił, że nie zapewnia to 100 procentowego bezpieczeństwa. Wcześniej odkrył on, że możliwe jest np. włamanie do akumulatora MacBooka.

Miller stworzył niepozorne narzędzie do śledzenia kursów akcji - InstaStock. W rzeczywistości, po instalacji i połączeniu z serwerem hakera możliwe było wykonywanie dowolnej funkcji na telefonie np. pobranie kontaktów. Aplikacja została przyjęta do App Store przez pracowników Apple, dzięki czemu możemy zobaczyć proces pobierania aplikacji i wykonywania niepodpisanego kodu:

Charlie Miller nie opublikował szczegółów błędów, by do wyjścia łatki inni nie wykorzystywali jego odkrycia do złych celów. Jednak nie wiadomo czy hakerzy sami nie odkryli już jak przeprowadzić atak.

Kontrowersyjne jest zachowanie firmy z Cupertino. Większość dużych firm takich jak np. Google dziękuje i płaci za wykrycie luki, co zrobiło Apple? Zablokowało Millerowi konto deweloperskie na rok. Przez to nie będzie mógł już dodawać nowych aplikacji do App Store. Zapewnienia, że luka mogła być wykorzystana jedynie na jego iPhone'ie niczego nie zmieniły.

Nie ma sposobu na sprawdzenie luki niż przetestowanie jej na urządzeniu. Zachowanie Apple jest dziwne, zwłaszcza że nie mówimy o osobie, która nie traktuje błędów w aplikacjach jako łatwego sposobu na zysk.
 

Więcej o bezpieczeństwie produktów Apple:

• Do akumulatora MacBooka można się włamać
• Apple: odszkodowanie za niechcianą lokalizację
• Zawody hakerskie Pwn2Own - pierwsze dwa dni
• Apple: iOS 5 złamany - jailbreak dostępny

Źródło: CNN, Forbes