Apple wirft Sicherheits-Experten Charlie Miller aus dem Entwickler-Programm

Kein Kommentar Autor: Jürgen (jdo)

Apple Logo FadenkreuzCharlie Miller ist wohl einer der bekanntesten Sicherheits-Experten in Sachen Mac OS X und Apple-Produkte. Nun hat Apple ihn aber aus dem Entwickler-Programm geworfen, weil er eine iOS-Aplikation entwickelt hat, die eine Sicherheitslücke ausnutzt, welche er in der Firmware gefunden hat.

Er hatte sich mit Forbes Andy Greenberg darüber unterhalten und dieser hat die Details veröffentlicht. Stunden später bekam Miller eine E-Mail von Apple mit der Aufkündigung des Rechts, für iOS zu entwickeln – mit sofortiger Wirkung.

Apple has banned well-known security researcher Charlie Miller from its developer program, for creating an apparently benign iOS app that was actually designed to exploit a security flaw he had uncovered in the firmware. Apple hat wohl auch das Recht dazu. Miller hat eine Proof-of-Concept-Applikation geschaffen, umzu demonstrieren, wie die Schwachstelle schädlichen Code ausführen kann. Das ganze war in einem Börsenticker versteckt. Somit hat er gegen Apples Lizenzvereinbarungen verstoßen.

Miller, der für die Sicherheitsfirma Acuvant arbeitet muss stocksauer reagiert haben. Er sei außer sich. Er berichte Fehler an sie (Apple) am laufenden Band. Teil des Entwickler-Programms zu sein, helfe mir dabei. Sie (Apple) würden sich in den eigenen Fuß schießen, weil sie Millers Leben somit schwerer machen würden.

Charlie Miller ist bekannt dafür, einer von den Guten (White Hacker) zu sein. Er kennt sich mit Mac OS X, iOS, Safari und Android wie in seiner Westentasche aus und hat dutzende von Fehlern an Apple berichtet. Eine öffentliche Demonstration der Lücke war für nächste Woche angesetzt.

Die Schwachstelle nutzt wohl eine Fehler in Apples Einschränkungen, um Code auf iOS-Geräten zu signieren. Miller hatte den Verdacht schon, als Apple iOS 4.3 im März veröffentlichte. Er realisierte die schnellere Geschwindigkeit im mobilen Safari-Browser. Apple hatte erstmalig erlaubt, dass JavaScript-Code einer Webseite auf einer tieferen Ebene im Speicher laufen darf. Somit tat sich eine Lücke auf, mit der man nicht genehmigten Code im Browser laufen lassen konnte.

Weitere Details zu der Sicherheitslücke hat Miller noch nicht ausgegeben. Allerdings hat er mit der App Instastock eine Demonstration geschaffen, die sogar durch Apples Code-Insektion schlüpfte und somit im App Store landete. Der Anwender denkt, dass die Ap ein einfacher Börsenticker ist. Im Hintergrund verbindet sie sich zu einem von Millers Servern. Der Sicherheits-Experte könnte beliebigen Code auf dem verbundenen Gerät ausführen. Die App ist natürlich bereits aus dem App Store entfernt.

Das folgende von Miller erstellte Video zeigt, wie die App Dateien eines iPhones ausliest und er dieses vibrieren lassen kann.




 Alle Kommentare als Feed abonnieren

Kommentare sind geschlossen.