Artikel top billede

Apple bortviser researcher for at afsløre fejl i iOS

Apple har bortvist sikkerheds-researcher, fordi han har skabt en applikation til iOS, som i virkeligheden blev designet til at udnytte en sikkerhedsfejl, som han selv havde opdaget.

Computerworld News Service: Få timer efter, han havde diskuteret sagen med sikkerhedsreporter fra Forbes, Andy Greenberg, som offentliggjorde detaljerne, modtog sikkerheds-researcher Charlie Miller en e-mail fra Apple:

"Dette brev skal anses som en opsigelse af den iOS Developer Program License-aftale, som findes mellem dig og Apple. Opsigelsen er gældende øjeblikkeligt."

Baseret på Andy Greenbergs opfølgende artikel, så var Apple i sin gode ret til at gøre, som virksomheden gjorde.

Charlie Miller skabte en applikation som proof-of-concept, der skulle demonstrere sikkerhedsfejlen, og hvordan den kan udnyttes af en ondsindet kode.

Han valgte derefter at gemme koden i en uskyldigt udseende aktie-applikation, og det var netop den handling, der, ifølge Apple, "var i modstrid med udviklings-aftalen, der forbød ham at 'gemme, misrepræsentere eller camouflere dele af applikationen'," skriver Andy Greenberg.

Han citerer desuden Charlie Miller, som arbejder for sikkerheds-konsulentfirmaet Acuvant, "Jeg er vred. Jeg indsender bugs til dem hele tiden. At være en del af udvikler-programmet hjalp mig også med det. De skader sig selv og gør mit liv sværere."

Charlie Miller, der er tidligere ansat hos National Security Agency (den amerikanske efterretningstjeneste, red.), er kendt som hacker med såkaldt 'hvid hat' og har ekspertise inden for Apples platforme Mac OS X og iOS, heriblandt Safari-browseren og Android.

Charlie Miller "har fundet og indrapporteret dusinvis af bugs til Apple igennem de seneste år," bemærker Andy Greenberg.

Detektivarbejde

Charlie Miller indsendte den seneste bug til Apple for knap tre uger siden, og det var Andy Greenbergs offentliggørelse af sagen i denne uge, inden Charlie Millers planlagte præsentation i næste uge, der fik researcheren smidt ud af udviklerprogrammet.

Sårbarheden giver et fascinerende indblik i det detektivarbejde, der ligger bag informationssikkerhed.

Charlie Miller opdagede en fejl, der var blevet introduceret i Apples restriktioner for kode-signering til enheder med iOS.

Kode-signering er en proces, der sikrer, at det kun er Apple-godkendte kommandoer, der kan køre i enheden hukommelse, står der i Andy Greenbergs artikel.

Charlie Miller fik mistanke om fejlen i forbindelse med Apples udsendelse af iOS 4.3 i marts. Han indså, at Apple for at øge hastigheden i Safari-browseren for første gang havde tilladt Javascript-kode fra en hjemmeside at køre på et dybere niveau i hukommelsen.

Det skabte til gengæld en sikkerheds-undtagelse, der gjorde det muligt for browseren at køre ikke-godkendt kode.

Ifølge Andy Greenbergs historie har Apple skabt andre sikkerhedsrestriktioner for at forhindre utroværdige hjemmesider i at udnytte undtagelsen, så det kun er browseren, der kan bruge den.

Oversat af Marie Dyekjær Eriksen




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Jobindex Media A/S
Salg af telemarketing og research for it-branchen, it-kurser og konferencer

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Strategisk IT-sikkerhedsdag 2022 - identificer, beskyt og forsvar

IT-sikkerhedstruslerne mod virksomhederne er i takt med tiden blevet større og værre, fordi virksomhederne er mere end nogensinde før afhængige af data og IT. Det stiller krav til de IT-ansvarlige, der konstant skal tage bestik af det skiftende trusselniveau. Det kræver blandt andet, at it-sikkerhed bliver sat på den strategiske dagsorden i virksomhederne – men hvordan?

25. januar 2022 | Læs mere


Hjemmearbejdets påvirkning på trivsel, helbred og arbejdsmiljø

Fremtidens arbejdsplads er hybrid, det er der ingen tvivl om. Men hvad fører det egentlig med sig? Og hvordan omstiller du og din arbejdsplads sig til det? Det kan du blive klogere på, på denne digitale konference.

02. februar 2022 | Læs mere


GDPR - persondatabeskyttelse i praksis

Håndteringen af persondata og GDPR er for længst blevet hverdag hos de danske organisationer, men derfor er det til stadighed vigtigt og altafgørende, at den løbende overholdelse af GDPR er på plads. Vær med og hør, hvordan du ved hjælp af processuelle greb, værktøjer og systemer kan sikre dette.

08. februar 2022 | Læs mere