Apple verbannt den Entdecker einer iOS-Lücke
Nachdem der IT-Security-Spezialist Charlie Miller eine schwere Lücke in Apples iOS-Betriebssystem entdeckt hat, platzierte er im App Store zu Demonstrationszwecken eine "Schläfer-App". Das hatte für ihn allerdings Konsequenzen.
Wie das Wirtschaftsmagazin 'Forbes' auf seiner Webseite berichtet, reagierte Apple daraufhin ungewöhnlich scharf: Man verbannte Miller mit sofortiger Wirkung aus seinem Entwicklerprogramm. Die Lücke hingegen ist nach wie vor offen. Miller hatte zuvor herausgefunden, dass es möglich ist, mit einer signierten App-Store-Anwendung unsignierten Code auszuführen.
Normalerweise garantiere das so genannte Codesigning, dass keinerlei Malware auf das iPhone (über den Store) eingeschleust werden könne, so Miller in einem Video, in dem er den Prozess beschreibt (s. u.). Alle Apps müssen von Apple überprüft und abgesegnet werden.
Miller programmierte zur Demonstration eine vermeintlich harmlose Börsen-Anwendung namens "Instastock", die auch ohne Bedenken von Apple signiert also freigeschaltet worden ist (aber inzwischen wieder gelöscht wurde). Die App nahm nach dem Start Kontakt zu einem Server des Hackers auf und konnte so Code nachladen, der ein YouTube-Video startete.
Genaue Details zu der Lücke will der Sicherheitsexperte kommende Woche bei der SysCan-Konferenz in Taiwan veröffentlichen. Erstmals gestoßen sei Miller auf diese Lücke im vergangenen Jahr beim Release von iOS 4.3. Miller fiel auf, dass Apple es dem JavaScript-Code erlaubt hat, auf einer tieferen Speicher-Ebene zu laufen, um die Geschwindigkeit des Browsers zu erhöhen.
Das habe zur Folge gehabt, dass Apple eine Ausnahme für unsignierten Code in einer Region des Gerätespeichers anlegen musste. Zwar stünden diesbezüglich andere Sicherheitsmechanismen zum Schutz bereit, Miller konnte aber dennoch einen Bug finden, der ihm den Zugriff auf diese Ausnahme erlaubte.
Details zu diesem Fehler wollte er aus Rücksicht auf Apple nicht nennen, um dem iPhone- und iPad-Hersteller genügend Zeit zu geben, die Lücke zu schließen. Miller, der in den vergangenen Jahren schon dutzende Bugs an Apple gemeldet hat, wies den Konzern bereits vor mehr als drei Wochen auf diesen Umstand hin.
Doch anstatt dankbar dafür zu sein, warf man Miller aus dem internen Entwickler-Programm "mit sofortiger Wirkung" raus. Grund sei die von Miller geschriebene Fake-Börsen-App. Diese sei zwar harmlos, verstoße aber gegen die entsprechende Nutzungs-Vereinbarung für Entwickler. Miller kreidet diese Entwicklung dem neuen Management von Apple an: "Ich vermisse Steve Jobs", sagte der enttäuschte und verwunderte Sicherheitsexperte. "Er hat mich nie irgendwo rausgeworfen."
Normalerweise garantiere das so genannte Codesigning, dass keinerlei Malware auf das iPhone (über den Store) eingeschleust werden könne, so Miller in einem Video, in dem er den Prozess beschreibt (s. u.). Alle Apps müssen von Apple überprüft und abgesegnet werden.
Miller programmierte zur Demonstration eine vermeintlich harmlose Börsen-Anwendung namens "Instastock", die auch ohne Bedenken von Apple signiert also freigeschaltet worden ist (aber inzwischen wieder gelöscht wurde). Die App nahm nach dem Start Kontakt zu einem Server des Hackers auf und konnte so Code nachladen, der ein YouTube-Video startete.
Genaue Details zu der Lücke will der Sicherheitsexperte kommende Woche bei der SysCan-Konferenz in Taiwan veröffentlichen. Erstmals gestoßen sei Miller auf diese Lücke im vergangenen Jahr beim Release von iOS 4.3. Miller fiel auf, dass Apple es dem JavaScript-Code erlaubt hat, auf einer tieferen Speicher-Ebene zu laufen, um die Geschwindigkeit des Browsers zu erhöhen.
Das habe zur Folge gehabt, dass Apple eine Ausnahme für unsignierten Code in einer Region des Gerätespeichers anlegen musste. Zwar stünden diesbezüglich andere Sicherheitsmechanismen zum Schutz bereit, Miller konnte aber dennoch einen Bug finden, der ihm den Zugriff auf diese Ausnahme erlaubte.
Details zu diesem Fehler wollte er aus Rücksicht auf Apple nicht nennen, um dem iPhone- und iPad-Hersteller genügend Zeit zu geben, die Lücke zu schließen. Miller, der in den vergangenen Jahren schon dutzende Bugs an Apple gemeldet hat, wies den Konzern bereits vor mehr als drei Wochen auf diesen Umstand hin.
Doch anstatt dankbar dafür zu sein, warf man Miller aus dem internen Entwickler-Programm "mit sofortiger Wirkung" raus. Grund sei die von Miller geschriebene Fake-Börsen-App. Diese sei zwar harmlos, verstoße aber gegen die entsprechende Nutzungs-Vereinbarung für Entwickler. Miller kreidet diese Entwicklung dem neuen Management von Apple an: "Ich vermisse Steve Jobs", sagte der enttäuschte und verwunderte Sicherheitsexperte. "Er hat mich nie irgendwo rausgeworfen."
Thema:
Das iPhone 17 im Preisvergleich
Turbo_Handy 
Amazon.de 
Mobilfunk-schreiber Beliebt im Preisvergleich
- Handys ohne Vertrag:
Videos zum Thema iOS
Beiträge im Forum
Weiterführende Links
Neue Nachrichten
- Speicherkrise: Microsoft führt Surface-Geräte mit nur noch 8 GB RAM ein
- Wikipedia-Streit: Mitbegründer Larry Sanger dauerhaft gesperrt
- KI-Lobby: Europa muss sich entscheiden - wir oder das Klima
- Gmail: Endlich dürfen deutsche User ihre Mail-Adresse ändern - So gehts
- App für Vorhersagen: Zuckerberg will Polymarket und Co. abkupfern
- Keine Kreditkarte mehr nötig: EC-Karte erhält neue praktische Features
- 436.000 Jobs: Rekord-Beschäftigung in der Erneuerbaren-Branche
Videos
Beliebte Downloads
Beliebte Nachrichten
Meist kommentierte Nachrichten
Forum
-
Home Assistant OS 18.0 – Endlich wird die Basis richtig aufgeräumt
d-hubs - Heute 10:54 Uhr -
Erweiterung Post-it für Firefox oder Chrome
Maik1000 - Gestern 13:50 Uhr -
oSC Nürnberg 25.–27. Juni - das OpenSuse-Meeting
d-hubs - 20.06. 13:40 Uhr -
Die allerneueste Version, TrueNAS 26.0.0-BETA.2
d-hubs - 19.06. 14:50 Uhr -
Wie kann ich die Untertitel einem Video hinzufügen?
Rizo - 19.06. 11:14 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen