Apple verbannt den Entdecker einer iOS-Lücke

Betriebssystem, Apple, iOS Bildquelle: Apple
Nachdem der IT-Security-Spezialist Charlie Miller eine schwere Lücke in Apples iOS-Betriebssystem entdeckt hat, platzierte er im App Store zu Demonstrationszwecken eine "Schläfer-App". Das hatte für ihn allerdings Konsequenzen.
Wie das Wirtschaftsmagazin 'Forbes' auf seiner Webseite berichtet, reagierte Apple daraufhin ungewöhnlich scharf: Man verbannte Miller mit sofortiger Wirkung aus seinem Entwicklerprogramm. Die Lücke hingegen ist nach wie vor offen. Miller hatte zuvor herausgefunden, dass es möglich ist, mit einer signierten App-Store-Anwendung unsignierten Code auszuführen.

Normalerweise garantiere das so genannte Codesigning, dass keinerlei Malware auf das iPhone (über den Store) eingeschleust werden könne, so Miller in einem Video, in dem er den Prozess beschreibt (s. u.). Alle Apps müssen von Apple überprüft und abgesegnet werden.


Miller programmierte zur Demonstration eine vermeintlich harmlose Börsen-Anwendung namens "Instastock", die auch ohne Bedenken von Apple signiert also freigeschaltet worden ist (aber inzwischen wieder gelöscht wurde). Die App nahm nach dem Start Kontakt zu einem Server des Hackers auf und konnte so Code nachladen, der ein YouTube-Video startete.

Genaue Details zu der Lücke will der Sicherheitsexperte kommende Woche bei der SysCan-Konferenz in Taiwan veröffentlichen. Erstmals gestoßen sei Miller auf diese Lücke im vergangenen Jahr beim Release von iOS 4.3. Miller fiel auf, dass Apple es dem JavaScript-Code erlaubt hat, auf einer tieferen Speicher-Ebene zu laufen, um die Geschwindigkeit des Browsers zu erhöhen.

Das habe zur Folge gehabt, dass Apple eine Ausnahme für unsignierten Code in einer Region des Gerätespeichers anlegen musste. Zwar stünden diesbezüglich andere Sicherheitsmechanismen zum Schutz bereit, Miller konnte aber dennoch einen Bug finden, der ihm den Zugriff auf diese Ausnahme erlaubte.

Details zu diesem Fehler wollte er aus Rücksicht auf Apple nicht nennen, um dem iPhone- und iPad-Hersteller genügend Zeit zu geben, die Lücke zu schließen. Miller, der in den vergangenen Jahren schon dutzende Bugs an Apple gemeldet hat, wies den Konzern bereits vor mehr als drei Wochen auf diesen Umstand hin.

Doch anstatt dankbar dafür zu sein, warf man Miller aus dem internen Entwickler-Programm "mit sofortiger Wirkung" raus. Grund sei die von Miller geschriebene Fake-Börsen-App. Diese sei zwar harmlos, verstoße aber gegen die entsprechende Nutzungs-Vereinbarung für Entwickler. Miller kreidet diese Entwicklung dem neuen Management von Apple an: "Ich vermisse Steve Jobs", sagte der enttäuschte und verwunderte Sicherheitsexperte. "Er hat mich nie irgendwo rausgeworfen." Betriebssystem, Apple, iOS Betriebssystem, Apple, iOS Apple
Mehr zum Thema: Apple iOS
Diese Nachricht empfehlen
Kommentieren122
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr Bosch DIY Schlagbohrmaschine PSB 500 RE, Tiefenanschlag, Zusatzhandgriff, Koffer (500 Watt, max. Bohr-I: Holz: 25 mm, Beton: 10 mm)
Bosch DIY Schlagbohrmaschine PSB 500 RE, Tiefenanschlag, Zusatzhandgriff, Koffer (500 Watt, max. Bohr-I: Holz: 25 mm, Beton: 10 mm)
Original Amazon-Preis
42,50
Im Preisvergleich ab
42,50
Blitzangebot-Preis
35,99
Ersparnis zu Amazon 15% oder 6,51

iPhone 7 im Preisvergleich

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden