Artikel top billede

Apple bortviser researcher for at afsløre fejl i iOS

Apple har bortvist sikkerheds-researcher, fordi han har skabt en applikation til iOS, som i virkeligheden blev designet til at udnytte en sikkerhedsfejl, som han selv havde opdaget.

Computerworld News Service: Få timer efter, han havde diskuteret sagen med sikkerhedsreporter fra Forbes, Andy Greenberg, som offentliggjorde detaljerne, modtog sikkerheds-researcher Charlie Miller en e-mail fra Apple:

"Dette brev skal anses som en opsigelse af den iOS Developer Program License-aftale, som findes mellem dig og Apple. Opsigelsen er gældende øjeblikkeligt."

Baseret på Andy Greenbergs opfølgende artikel, så var Apple i sin gode ret til at gøre, som virksomheden gjorde.

Charlie Miller skabte en applikation som proof-of-concept, der skulle demonstrere sikkerhedsfejlen, og hvordan den kan udnyttes af en ondsindet kode.

Han valgte derefter at gemme koden i en uskyldigt udseende aktie-applikation, og det var netop den handling, der, ifølge Apple, "var i modstrid med udviklings-aftalen, der forbød ham at 'gemme, misrepræsentere eller camouflere dele af applikationen'," skriver Andy Greenberg.

Han citerer desuden Charlie Miller, som arbejder for sikkerheds-konsulentfirmaet Acuvant, "Jeg er vred. Jeg indsender bugs til dem hele tiden. At være en del af udvikler-programmet hjalp mig også med det. De skader sig selv og gør mit liv sværere."

Charlie Miller, der er tidligere ansat hos National Security Agency (den amerikanske efterretningstjeneste, red.), er kendt som hacker med såkaldt 'hvid hat' og har ekspertise inden for Apples platforme Mac OS X og iOS, heriblandt Safari-browseren og Android.

Charlie Miller "har fundet og indrapporteret dusinvis af bugs til Apple igennem de seneste år," bemærker Andy Greenberg.

Detektivarbejde

Charlie Miller indsendte den seneste bug til Apple for knap tre uger siden, og det var Andy Greenbergs offentliggørelse af sagen i denne uge, inden Charlie Millers planlagte præsentation i næste uge, der fik researcheren smidt ud af udviklerprogrammet.

Sårbarheden giver et fascinerende indblik i det detektivarbejde, der ligger bag informationssikkerhed.

Charlie Miller opdagede en fejl, der var blevet introduceret i Apples restriktioner for kode-signering til enheder med iOS.

Kode-signering er en proces, der sikrer, at det kun er Apple-godkendte kommandoer, der kan køre i enheden hukommelse, står der i Andy Greenbergs artikel.

Charlie Miller fik mistanke om fejlen i forbindelse med Apples udsendelse af iOS 4.3 i marts. Han indså, at Apple for at øge hastigheden i Safari-browseren for første gang havde tilladt Javascript-kode fra en hjemmeside at køre på et dybere niveau i hukommelsen.

Det skabte til gengæld en sikkerheds-undtagelse, der gjorde det muligt for browseren at køre ikke-godkendt kode.

Ifølge Andy Greenbergs historie har Apple skabt andre sikkerhedsrestriktioner for at forhindre utroværdige hjemmesider i at udnytte undtagelsen, så det kun er browseren, der kan bruge den.

Oversat af Marie Dyekjær Eriksen




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
TIETOEVRY DENMARK A/S
Udvikler, sælger og implementerer software til ESDH, CRM og portaler. Fokus på detailhandel, bygge- og anlæg, energi og finans.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere