Apple verbannt den Entdecker einer iOS-Lücke
Forbes' auf seiner Webseite berichtet, reagierte Apple daraufhin ungewöhnlich scharf: Man verbannte Miller mit sofortiger Wirkung aus seinem Entwicklerprogramm. Die Lücke hingegen ist nach wie vor offen. Miller hatte zuvor herausgefunden, dass es möglich ist, mit einer signierten App-Store-Anwendung unsignierten Code auszuführen.
Normalerweise garantiere das so genannte Codesigning, dass keinerlei Malware auf das iPhone (über den Store) eingeschleust werden könne, so Miller in einem Video, in dem er den Prozess beschreibt (s. u.). Alle Apps müssen von Apple überprüft und abgesegnet werden.
Miller programmierte zur Demonstration eine vermeintlich harmlose Börsen-Anwendung namens "Instastock", die auch ohne Bedenken von Apple signiert also freigeschaltet worden ist (aber inzwischen wieder gelöscht wurde). Die App nahm nach dem Start Kontakt zu einem Server des Hackers auf und konnte so Code nachladen, der ein YouTube-Video startete.
Genaue Details zu der Lücke will der Sicherheitsexperte kommende Woche bei der SysCan-Konferenz in Taiwan veröffentlichen. Erstmals gestoßen sei Miller auf diese Lücke im vergangenen Jahr beim Release von iOS 4.3. Miller fiel auf, dass Apple es dem JavaScript-Code erlaubt hat, auf einer tieferen Speicher-Ebene zu laufen, um die Geschwindigkeit des Browsers zu erhöhen.
Das habe zur Folge gehabt, dass Apple eine Ausnahme für unsignierten Code in einer Region des Gerätespeichers anlegen musste. Zwar stünden diesbezüglich andere Sicherheitsmechanismen zum Schutz bereit, Miller konnte aber dennoch einen Bug finden, der ihm den Zugriff auf diese Ausnahme erlaubte.
Details zu diesem Fehler wollte er aus Rücksicht auf Apple nicht nennen, um dem iPhone- und iPad-Hersteller genügend Zeit zu geben, die Lücke zu schließen. Miller, der in den vergangenen Jahren schon dutzende Bugs an Apple gemeldet hat, wies den Konzern bereits vor mehr als drei Wochen auf diesen Umstand hin.
Doch anstatt dankbar dafür zu sein, warf man Miller aus dem internen Entwickler-Programm "mit sofortiger Wirkung" raus. Grund sei die von Miller geschriebene Fake-Börsen-App. Diese sei zwar harmlos, verstoße aber gegen die entsprechende Nutzungs-Vereinbarung für Entwickler. Miller kreidet diese Entwicklung dem neuen Management von Apple an: "Ich vermisse Steve Jobs", sagte der enttäuschte und verwunderte Sicherheitsexperte. "Er hat mich nie irgendwo rausgeworfen."
Wie das Wirtschaftsmagazin 'Normalerweise garantiere das so genannte Codesigning, dass keinerlei Malware auf das iPhone (über den Store) eingeschleust werden könne, so Miller in einem Video, in dem er den Prozess beschreibt (s. u.). Alle Apps müssen von Apple überprüft und abgesegnet werden.
Miller programmierte zur Demonstration eine vermeintlich harmlose Börsen-Anwendung namens "Instastock", die auch ohne Bedenken von Apple signiert also freigeschaltet worden ist (aber inzwischen wieder gelöscht wurde). Die App nahm nach dem Start Kontakt zu einem Server des Hackers auf und konnte so Code nachladen, der ein YouTube-Video startete.
Genaue Details zu der Lücke will der Sicherheitsexperte kommende Woche bei der SysCan-Konferenz in Taiwan veröffentlichen. Erstmals gestoßen sei Miller auf diese Lücke im vergangenen Jahr beim Release von iOS 4.3. Miller fiel auf, dass Apple es dem JavaScript-Code erlaubt hat, auf einer tieferen Speicher-Ebene zu laufen, um die Geschwindigkeit des Browsers zu erhöhen.
Das habe zur Folge gehabt, dass Apple eine Ausnahme für unsignierten Code in einer Region des Gerätespeichers anlegen musste. Zwar stünden diesbezüglich andere Sicherheitsmechanismen zum Schutz bereit, Miller konnte aber dennoch einen Bug finden, der ihm den Zugriff auf diese Ausnahme erlaubte.
Details zu diesem Fehler wollte er aus Rücksicht auf Apple nicht nennen, um dem iPhone- und iPad-Hersteller genügend Zeit zu geben, die Lücke zu schließen. Miller, der in den vergangenen Jahren schon dutzende Bugs an Apple gemeldet hat, wies den Konzern bereits vor mehr als drei Wochen auf diesen Umstand hin.
Doch anstatt dankbar dafür zu sein, warf man Miller aus dem internen Entwickler-Programm "mit sofortiger Wirkung" raus. Grund sei die von Miller geschriebene Fake-Börsen-App. Diese sei zwar harmlos, verstoße aber gegen die entsprechende Nutzungs-Vereinbarung für Entwickler. Miller kreidet diese Entwicklung dem neuen Management von Apple an: "Ich vermisse Steve Jobs", sagte der enttäuschte und verwunderte Sicherheitsexperte. "Er hat mich nie irgendwo rausgeworfen."
Mehr zum Thema: Apple iOS
Diese Nachricht empfehlen
Kommentar abgeben
Netiquette beachten!
Jetzt als Amazon Blitzangebot
Ab 00:00 Uhr
Bluetooth Kopfhörer

Original Amazon-Preis
29,99 €
Blitzangebot-Preis
25,49 €
Ersparnis zu Amazon 15% oder 4,50 €
Beliebt im Preisvergleich
- Handys ohne Vertrag:
Videos zum Thema iOS
Beiträge im Forum
Weiterführende Links
Neue Nachrichten
- Parler: Soziales Netzwerk mit russischer Hilfe teilweise wieder online
- Deutscher Mars-Bohrer gescheitert: InSight legt den Maulwurf lahm
- Nach Rechtsstreit mit Blackberry: WhatsApp bekommt Funktion zurück
- 800 km/h: Chinesischer Hochgeschwindigkeitszug schnell wie Flugzeug
- Netzagentur nimmt 21 Mio. unsichere Elektronikgeräte vom Markt
- Microsoft setzt sich ins Auto, investiert in Selbstfahr-Ableger von GM
- Kritik an Next-Gen-Konsolen: Stromverbrauch laut Experten zu hoch
Videos
Beliebte Downloads
Beliebte Nachrichten
WinFuture Mobil

Nachrichten und Kommentare auf
dem Smartphone lesen.
Meist kommentierte Nachrichten
Forum
-
ISO zu gross für DVD
Sarek - vor 23 Minuten -
15 Zoll Notebook Office / Media 500 - 700
Stefan_der_held - vor 27 Minuten -
Kaufberatung Monitor
DanielDuesentrieb - vor 2 Stunden -
Billige Webcam mit Full-HD Auflösung gesucht
greller - Heute 17:51 Uhr -
Winfuture.de - Song Of The Day Pt. 4
greller - Heute 17:42 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Affiliate-Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen