Expert ontdekt gat in iOS-beveiliging, krijgt de bons van Apple

Door: Koen van Tongeren - 22 reacties

Charlie Miller is de luis in de pels van Apple als het aankomt op de beveiliging van iOS en Mac OS X. Keer op keer weet hij zwakke plekken in het OS te ontdekken die vervolgens door Apple gerepareerd moeten worden. Ook deze week gebeurde dat, al bedankte Apple hem deze keer op een heel bijzondere manier: door zijn licentie als iOS-ontwikkelaar in te trekken.

Miller ontdekte dat een gat in iOS 5 zit dat het mogelijk is om op afstand toegang te krijgen tot een iPhone, iPad of iPod touch. De benodigde code hiervoor verstopte hij in een onschuldig ogende aandelenkoersen-App. Na goedkeuring van Apple verscheen deze in de App Store. Nietsvermoedende downloaders zouden Miller echter toegang geven tot persoonlijke data (zoals foto’s en contactgegevens). Ook kon hij op afstand geluiden laten afspelen of iPhones laten vibreren.

Natuurlijk waren Charlie Miller’s beweegredenen minder sinister. Hij wilde de zwakke plek aan de kaak stellen en er misschien nog een paar boeken mee verkopen. Apple bedankte hem echter door hem uit het iOS-ontwikkelaarsprogramma te schoppen. Als reden werd aangegeven dat Miller de gebruikersovereenkomst overtreden had met zijn actie.Uiteraard is zijn App ook uit de Store gehaald.

Hoe sneu dat ook voor Miller is, Apple’s reactie geeft wel aan dat deze zwakke plek in iOS nu bekend is en ongetwijfeld gerepareerd wordt in een volgende update. Tot die tijd zullen de 700 iOS-codecheckers die Apple in dienst heeft waarschijnlijk alle nieuwe aanmeldingen voor de App Store extra controleren op het lek dat Charlie Miller ze heeft laten zien.

Reacties

22 reacties
  • Profielfoto
    edwinveldhuizen

    Hij had zulke lekken ook gewoon aan apple door moeten geven.
    De manier die waarmee hij dit naar buiten brengt kan ook echt niet door de beugel..

  • Profielfoto
    Aidovive

    Leuk bedankje van Apple. Ik moet wel zeggen dat het op zich logisch is. Apple mag en kan kwaad willende niet toelaten tot de App Store. Meneer Miller had ook Apple kunnen informeren zonder zijn App te plaatsen.

  • Profielfoto
    Soulshaker

    Ze zouden gvd een baan moeten aanbieden , om met die andere 700 code checkers samen te werken

  • Profielfoto
    McShamus

    Precies, De manier van aantonen betekende ook een overtreding van de overeenkomst. Dit had hij mijlenver aan kunnen zien komen.

  • Profielfoto
    Aidovive

    @Soulshaker Misschien zullen ze dat ook wel doen of al gedaan hebben?

  • Profielfoto
    U4iA

    Apple heeft het gat niet ontdekt, maar dat was gemeld. Als dank mag hij nu nniet meer legaal onderzoek doen.

  • Profielfoto
    essiw

    Het komt omdat hij toegang had tot persoonlijke data, dan is het alleen maar logisch om zoiets te doen als bedrijf.

  • Profielfoto
    madcat

    niet meer dan logisch. al hoewel dit niet echt een lek is.. maar meer een trojan in je applicatie stoppen.
    De sandbox moet echt snel worden geactiveerd voor alle apps, om dit soort grapjes te verkomen!

  • Profielfoto
    THX-1138

    Volgens mij rammelt er iets aan de titel van het artikel of lees ik ‘m gewoon verkeerd??

  • Profielfoto
    maartenvt

    Ze zouden gvd een baan moeten aanbieden , om met die andere 700 code checkers samen te werken

    Waarom zouden ze hem nu aan baan aan moeten bieden? Wat een onzin, hij tekent een contract, houd zich daar bewust niet aan, en nu moet hij daarvoor bedankt worden?

    Buiten dat om, dat hij dit lek naar buiten brengt wil zeker niet zeggen dat Apple deze lek niet kent, het lijkt erop dat iedereen hier denk dat hij de ontdekker van dit lek is. Hij is degene die het lek de wereld in helpt, dat is nogal een verschil.

  • Profielfoto
    ukkie86

    Als je een test wilt uitvoeren die betrekking heeft op het goedkeuringsapparaat van Apple, kun je moeilijk aankondigen dat je die test gaat uitvoeren? Een praktijktest in deze kon dus moeilijk op een andere manier! Dat ze dan zijn licentie intrekken is gewoon pesten.

    Als iemand anders het was geweest die kwaadwillend was geweest had diegene het toch niet gemeld en vervolgens veel gegevens buit kunnen maken..

  • Profielfoto
    Mellie

    Waarom zouden ze hem nu aan baan aan moeten bieden? Wat een onzin, hij tekent een contract, houd zich daar bewust niet aan, en nu moet hij daarvoor bedankt worden?

    Buiten dat om, dat hij dit lek naar buiten brengt wil zeker niet zeggen dat Apple deze lek niet kent, het lijkt erop dat iedereen hier denk dat hij de ontdekker van dit lek is. Hij is degene die het lek de wereld in helpt, dat is nogal een verschil.

    Keep your friends close, keep your enemies closer is hier wel gepast.

    Maar even zonder grapjes, een baan aanbieden is als bedrijf vaak wel een slimme zet. Je huurt deze persoon dan gewoon in om het OS te proberen te exploiten op alle manieren mogelijk zodat je het beter kunt beveiligen. Een win-win situatie voor Apple en haar klanten. Als je dat niet wilt kun je gewoon meer informatie aan die persoon opvragen om het lek te dichten en goede vrienden blijven. Maar een iOS-ontwikkelaar licentie in te trekken van iemand die een lek heeft gemeld in plaats van het te (blijven) misbruiken is geen slimme zet.

    En sorry, maar nee, met je laatste zin ben ik het totaal niet eens: je gaat als bedrijf echt geen nieuwe versie van een OS uitbrengen waar je niet zeker over bent wat betreft veiligheid en functies. Natuurlijk wist Apple hier niet vanaf, ook dit bedrijf maakt fouten.

  • Profielfoto
    U4iA

    Apple is een beetje zuur. De beste man legt twee kwetsbaarheden bloot: een fout in IOS5 en in de AppStore App toelatingscontrole, meldt dit en wordt als dank zo behandelt. Hij is zelfs nog zo netjes om Apple eerste het probleem te laten oplossen voordat hij gaat melden hoe hij het heeft gedaan.

  • Profielfoto
    maartenvt

    Buiten dat om, dat hij dit lek naar buiten brengt wil zeker niet zeggen dat Apple deze lek niet kent, het lijkt erop dat iedereen hier denk dat hij de ontdekker van dit lek is. Hij is degene die het lek de wereld in helpt, dat is nogal een verschil.

    En sorry, maar nee, met je laatste zin ben ik het totaal niet eens: je gaat als bedrijf echt geen nieuwe versie van een OS uitbrengen waar je niet zeker over bent wat betreft veiligheid en functies. Natuurlijk wist Apple hier niet vanaf, ook dit bedrijf maakt fouten.

    Dat is niet helemaal correct. Natuurlijk weet apple wel dat er lekken zijn, sterker nog een developer vind in de dev forums en bug tracker meer dan genoeg mogelijkheden om de boel te verzieken. (dat weet ik)

    Ze gaan en kunnen gewoon niet bij elke lek een update uitbrengen, dus tussen de versies in zijn er bij Apple meerdere bugs cq lekken bekend die opgelost worden in de volgende versie.

    Dus NEE, apple brengt geen versie uit waar lekken in zitten die ze niet weten. Maar JA, ze zijn bekend met lekken in huidige versie en passen deze indien noodzakelijk aan in nieuwe versie.

    @U4iA De beste man had gewoon de normale, door hem bekende, manier kunnen gebruiken om de bug te melden en dan was er niets aan de hand geweest. Als je het niet eens bent met de door Apple opgestelde en door een dev getekende voorwaarden, dan weet je dus, dat je de kans loopt.

    Hij had dus de app niet moeten plaatsen, hij had moeten melden dat er dat gat zat.

    Waarom vindt een ieder dat tegenwoordig zo vreemd on je aan de door jezelf ondertekende voorwaarden te houden?

  • Profielfoto
    MacAanZee

    Miller heeft uiteindelijk nuttig werk gedaan, maar wel de regels overtreden. Daarmee is hij gewoon te ver gegaan. Hij had beter Apple zelf kunnen inlichten of de publiciteit kunnen zoeken. Door stiekumweg via een app het lek te gaan uitproberen en exploiteren is hij te ver gegaan. Maar wie weet wordt hij door Apple wel nog ’s in dienst genomen om binnen het bedrijf zijn kunsten te vertonen. Maar ze kunnen voor de b├╝hne dit natuurlijk niet toelaten.

  • Profielfoto
    NTG

    Zijn strategie was misschien wat minder wijs om die app eerst uit te brengen en dan pas aan te tonen dat er een lek is. Dus als hij daarmee Apple’s voorwaarden overschrijd is dat prima. Maar natuurlijk is het goed van Miller dat hij heeft aangetoond da het lek er is.

  • Profielfoto
    hendrik ijzerbroot

    Met name Charlie Miller is een expert / hacker die veelvuldig het nieuws heeft gehaald. Dit doet vermoeden dat de man een beetje media geil is. Elke keer dat hij een lek vond, blies hij dat hoog van de toren.
    En als je omdat te kunnen doen de developer regels moet overtreden dan moet je gezien de bedrijfsvoering bij Apple niet gek op kijken als je daarop gepakt en bestraft wordt.

  • Profielfoto
    BigAL

    Kijk dat Apple een levensgroot gat heeft dat potentieel echt gevaarlijk kan zijn voor de gebruikers ligt aan de basis voor het kunnen ontwikkelen van een dergelijke app.
    It’s not a bug, it’s feature, zal Miller wel gedacht hebben.

  • Profielfoto
    throttlemeister

    Heeft iemand hier ├╝berhaupt de moeite genomen om even door te klikken naar Forbes en daar verder te lezen? Kennelijk niet, want daarin staat dat de heer Miller deze bug al op 14 oktober aan Apple heeft gemeld. Dat is dus bijna een maand geleden. En aangezien we het hier hebben over een Prio 1 exploitabel bug hebben, werd het dus hoogste tijd voor wat publiciteit.

    Daarnaast is het aanmelden van een app voor de app store een noodzakelijk kwaad, anders had iedereen, Apple incluis, gezegd dat dit door de app store validatie tegen gehouden wordt en dat het dus een theoretisch lek is welke niet praktisch uit te buiten valt. Aangezien de app validatie procedure een van de onderdelen is waar Apple van claimt dat het hun devices veilig maakt, is het dus noodzakelijk om ook die beveiliging te omzeilen om aan te tonen hoe groot het probleem is.

  • Profielfoto
    maartenvt

    Heeft iemand hier ├╝berhaupt de moeite genomen om even door te klikken naar Forbes en daar verder te lezen? Kennelijk niet, want daarin staat dat de heer Miller deze bug al op 14 oktober aan Apple heeft gemeld. Dat is dus bijna een maand geleden. En aangezien we het hier hebben over een Prio 1 exploitabel bug hebben, werd het dus hoogste tijd voor wat publiciteit..

    Als je er vanuit gaat dat Apple veiligheidslekken liever verbergt dan ze op te lossen dan heb je gelijk. Anders natuurlijk helemaal niet. Hij had de bug gewoon kunnen melden, zonder de app te publiceren. Dan had Apple het zeker opgelost.

  • Profielfoto
    DaveFlash

    Ook kon hij op afstand geluiden laten afspelen of iPhones laten vibreren.

    hah! vibreren op afstand! dat lijkt mij een handige functie!

  • Profielfoto
    hapipiko

    @THX-1138,

    Expert ontdekt gat in iOS-beveiliging, krijgt de bons van Apple

    WIe krijgt nu de bons, de expert of de iOS-beveilging?