Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 161 reacties
Submitter: rooot

Beveiligingsdeskundige Charlie Miller heeft een manier gevonden om de strenge eisen van Apples mobiele App Store te omzeilen. Hij kreeg kwaadaardige code in de iOS-applicatiewinkel, zonder dat Apples beveiligingssoftware de malware herkende.

Hackers kunnen door het iOS5-lek verschillende kwaadaardige applicaties in de App Store plaatsen, constateert Miller. Hij bouwde een prototype dat ongevraagd software op een toestel kon installeren en stuurde zijn exemplaar in naar Apple. Daar kwam de app volgens Miller zonder problemen langs de beveiligingseisen van Apple.

Miller laat in een video zien dat hij met InstaStock, een programma voor het bekijken van beurskoersen, onder meer adresgegevens van contactpersonen kan downloaden. Hoe hij de kwaadaardige code geheim kon houden, is onbekend. Miller geeft vooralsnog geen details vrij, zodat Apple het gat in de applicatiewinkel kan dichten. Apple beticht hem echter van misleiding en heeft zijn ontwikkelaarslicentie ingetrokken; Miller mag geen apps meer maken voor Apples mobiele platform, schrijft het bedrijf in een brief.

De applicaties in de App Store staan over het algemeen als veilig te boek, omdat Apple een streng beleid hanteert. “Tot nu kon je ervan uitgaan dat de App Store veilig was. Nu heb je geen idee wat een app misschien kan doen”, benadrukt Miller tegenover Reuters.

Reacties (161)

Reactiefilter:-11610146+193+28+30
Moderatie-faq Wijzig weergave
Goed dat Miller dit aan de kaak stelt. Het beoordelingsproces zal hierdoor steeds onder controle moeten blijven staan, wat de veiligheid wel weer ten goede komt :)

Waar ik wel benieuwd naar ben is of het een zero day-exploit betreft of een bekend lek. Het is natuurlijk lastig om te checken op zero days :)

Miller is trouwens geen onbekende in het hacken van de iPhone. Hij heeft al enkele grote bugs blootgelegd in het verleden en er ook prijzen mee gewonnen.
http://en.wikipedia.org/w...ller_(security_researcher)

[Reactie gewijzigd door SidewalkSuper op 8 november 2011 14:22]

super speurneus dus die kerel, zou je die beter dan geen job aanbieden of in de laatste fase van het test team gooien ... alleziens al geld verdiend met speuren naar bugs ::)

dit is trouwens de persoon in kwestie op foto, http://www.macobserver.co...20110725charliemiller.jpg echt zo een ik weet het beter smile he ;)

edit:

stond al vaker op tweakers deze meneer

http://tweakers.net/archieven/?keyword=Charles+Miller+

[Reactie gewijzigd door Rigs op 8 november 2011 14:34]

Misschien dat het te maken heeft met de volgorde van handelen?
- Insturen app met verborgen functies
- Installeren app op eigen iOS apperaat
- Maken exploit video
- Publiceren video
- Apple inlichten met linkje naar video
- Apple de tijd geven om het lek te dichten
- Impliciet dreigen met publicatie van methode als Apple niet 'adequaat' handelt

Netter zou zijn als het eerst Apple inlicht van de theoretische lek dat hij blijkbaar al gevonden had. Als Apple daar niet op had gereageerd dan maar een demo versie in elkaar flansen en het PoC opsturen naar Apple, als ook daar niet op gereageerd was, dan maar de nu publieke stappen ondernemen. En als ook dat niet leidt tot resultaat, het hele concept in een wiki uitwerken.

Dus ja, Apple heeft een punt om het niet dankbaar te zijn. Maar om de boodschapper dan maar af te schieten, da's ook wat dom/kort door de bocht/kortzichtig/ondankbaar *
( *=omcirkelen wat van toepassing is)
Ik ben het daar helemaal niet mee eens. Apple heeft de nogal nare eigenschap om bugs en problemen te ontkennen.

Als deze deskundige dus eerst Apple had benadert zonder een proof-of-concept, dan hadden ze hem waarschijnlijk gewoon uitgelachen. Op deze manier kan Apple er eigenlijk niet onderuit.
Apple heeft de eigenschap om niet direct op bugs en problemen te reageren, wat door de community wordt opgevat als ontkennen. (Antennagate is een uitzondering, waar ze veel van geleerd hebben). Ze zullen nu eerst uitzoeken of er een probleem is, waar het zit en als ze meer weten met een statement komen (bv. batterijproblemen 4S en PDF-exploit).

Neemt nog steeds niet weg dat je zulke mensen moet koesteren. Het is waarschijnlijk gewoon een standaard protocol geweest dat uitgevoerd is door een mid-level executive.

Dus voordat we gaan speculeren, laten we eerst Apple's officiŽle reactie even afwachten....
Ook deze mid-level executive wordt waarschijnlijk dik betaald. Hij heeft toch ook hersens.

(ik besef me dat deze toon niet op prijs gesteld wordt, maar ik vind het goedpraten van een domme reactie van wie dan ook in de boom gewoon vreemd).
Vergeet niet dat het heel goed mogelijk was geweest dat Apple alles wat hij instuurd extra had kunnen controleren nadat hij de theoretische lek had gemeld.

Lijkt me niet vreemd dat iemand geflagged word als potentieel risico in zo'n geval en extra / misschien zelfs handmatige controle krijgt.

En als ze het dan gevonden hadden zou Apple waarschijnlijk ook zijn licentie intrekken.
Ben ik het niet helemaal mee eens, een groot deel van de 'test' van de exploit was namelijk of hij door de controle van Apple heen zou komen. Dat hij het daarna 'openbaar' gemaakt heeft kun je discutabel noemen, maar als je kijkt wat tegenwoordig de standaard lijkt te zijn voor het publiceren van exploits e.d. (namelijk meteen de laatste stap die je noemde) vind ik dat hij het heel erg netjes heeft aangepakt en vind ik het een vrij harde (en naar mijn mending domme) actie van Apple om meteen zijn licentie in te trekken. Tuurlijk is zo'n lek niet goed voor het imago van de AppStore, maar zo'n oplossing is wellicht ook niet het beste voor het imago van Apple zelf.
Het punt is dat je als je een lek in iOS 5 vindt, je dat als developer gewoon kan testen op elke iPhone die je wilt zonder dat het nog in de App Store hoeft te staan. Het is dus nergens voor nodig om de app in de App Store te krijgen aangezien je zonder dat ook al aan kan tonen dat de lek te misbruiken valt. Daarom vind ik het ook niet zo vreemd dat Apple zo reageert.
Het punt is juist dat het door de screening van Apple is heen gekomen, wat betekend dat ze bij Apple liggen te slapen en niet goed controleren en/of dat er een groot lek in het OS zit. Je kan toch onmogelijk kijken of het door de screening van Apple komt als je het direct op je eigen iPhone zet.. Wel even goed lezen natuurlijk.
Het lek zit in iOS, de screening daarvan is dus niet goed gegaan. De screening van apps die naar de app store gaan staat daar los van.
Misschien dat het te maken heeft met de volgorde van handelen?
- Insturen app met verborgen functies
- Installeren app op eigen iOS apperaat
- Maken exploit video
- Publiceren video
- Apple inlichten met linkje naar video
- Apple de tijd geven om het lek te dichten
- Impliciet dreigen met publicatie van methode als Apple niet 'adequaat' handelt

Netter zou zijn als het eerst Apple inlicht van de theoretische lek dat hij blijkbaar al gevonden had. Als Apple daar niet op had gereageerd dan maar een demo versie in elkaar flansen en het PoC opsturen naar Apple, als ook daar niet op gereageerd was, dan maar de nu publieke stappen ondernemen. En als ook dat niet leidt tot resultaat, het hele concept in een wiki uitwerken.

Dus ja, Apple heeft een punt om het niet dankbaar te zijn. Maar om de boodschapper dan maar af te schieten, da's ook wat dom/kort door de bocht/kortzichtig/ondankbaar *
( *=omcirkelen wat van toepassing is)
apple kan volhouden dat het geen bug is .. Dat hebben ze in het verleden ook vaak gedaan, met o.a. de java exploit.. Het was bij iedereen bekent, maar het werdt pas gefixed toen het in the wild werdt misbruikt.. 3 Maanden!!!
Dus de methode die jij noemt werkt helaas niet bij apple
Hahaha, licentie ingetrokken. Goed bezig Apple. Heb je iemand die je systeem probeert te verbeteren en dan doe je dit? Kom op zeg, ik hoop dat hij z'n licentie gewoon terug krijgt. Zo omgaan met mensen die goede bedoelingen hebben werkt toch gewoon niet.

Verder goed dat de persoon in kwestie niet de code heeft vrijgegeven. Benadrukt alleen weer zijn goede bedoelingen. Ohja, met een beetje geluk krijgt 'ie ook nog een aanklacht met imagoschade aan z'n broek wegens het online zetten van het lek? Niet het exacte lek, maar wel het bestaan ervan...
En hij heeft die licentie niet afgenomen enkel vanwege zijn onderzoek.
M.a.w. hij gebruikt die 1 keer en zegt het dan zelf op?
Je gaat er toch rekening mee houden dat zoiets kan gebeuren. Wat als het systeem van Apple de malware wťl had ontdekt en dan zijn licentie had ingetrokken? Zat ie ook met een ingetrokken licentie, maar met een minder "sensatie onderzoek"; :)
Mjah, wie zijn billen brandt... Het is niet het probleem dat hij onderzoek heeft gedaan naar deze materie. Het probleem is dat hij een app heeft gemaakt en die heeft gesubmit, daarbij regelrecht tegen de regels van zijn developer license in. Hierin staat namelijk dat apps geen executable en niet gescreende code mogen downloaden. Dat is de reden dat zijn developer license id ingetrokken, niet het feit dat hij onderzoek doet naar zo'n veiligheidslek.

Stel dat BMW een onveilig type slot op de deur van z'n auto's gebruikt en je weet dat. Om te bewijzen dat dat zo is steel je een auto, als 'proof of concept'. En dan raar opkijken dat de politie voor je deur staat om je te pakken voor het stelen van een auto. Een briefje naar BMW had ook gewoon gewerkt...

[Reactie gewijzigd door Qlone op 8 november 2011 14:19]

Je moet de vergelijking wel even zuiver houden dan. Deze "dief" heeft bij een BMW-dealer een auto opengebroken (laten we ff zeggen zonder schade, want deze developer heeft geen persoonsgegevens van gebruikers gejat o.i.d.*) en vervolgens bij de BMW-dealer gemeld dat het zo kinderlijk eenvoudig is ("zie maar, zo doe je dat"). De dealer heeft nu, in plaats van de man te danken voor deze flaw in het BMW-design, de politie gebeld omdat die man ingebroken heeft in hun auto.

Ik vind het echt een domme actie van Apple. Ik had het ook niet verwacht van zo'n technologiebedrijf. Juist van bedrijven die niet dagelijks met technologie bezig zijn verwacht je zoiets, maar niet van Apple dat nota bene een naam hoog had te houden met hun App-market.

* En als hij ze heeft bemachtigd, lijkt me dat hij ze niet doorverkoopt ofzo. Hij toont aan dat de boel lek is, hoe wil hij dat anders aantonen dan met een proof of concept, want hij wist dat vooraf nog niet of dit zou werken.

[Reactie gewijzigd door Grrrrrene op 8 november 2011 14:31]

Waar lezen jullie dat hij EERST contact met Apple opgenomen heeft?

In het Reuters bericht lees ik dat niet. Ook in het bericht op Macrumors lees ik dat niet.

Zoals het er nu staat heeft hij deze app gebouwd, ingediend, openbaar gemaakt en vervolgens wil Apple niet reageren en heeft in de tussentijd zijn licentie ingetrokken.
Persoonlijk vind ik dat NIET netjes van deze man, maar wel zeer terecht van Apple.

Hij had het eerst aan Apple moeten melden en evt. een proof-of-concept bij leveren en als er dan taal nog teken uitblijft had hij het wereldkundig kunnen maken.
Miller told CNET he alerted Apple to the exploit three weeks ago, but could not comment on whether the vulnerability is patched in iOS 5.0.1
Op http://news.cnet.com/8301...igned-code/?tag=mncol;txt
Ook hier lees ik niet dat hij Apple EERST heeft ingelicht.

Er staat in dat verhaal alleen maar dat hij Apple 3 weken geleden ingelicht heeft, maar waarschijnlijk dus nadat hij de software in de App store gezet had.
Uiteraard heeft hij dat pas gedaan nadat de app in de store stond. Eerder kon de man namelijk niet weten dat zijn app door de screening zou komen...
Ook hier lees ik niet dat hij Apple EERST heeft ingelicht.

Er staat in dat verhaal alleen maar dat hij Apple 3 weken geleden ingelicht heeft, maar waarschijnlijk dus nadat hij de software in de App store gezet had.
Tuurlijk niet, anders kon hij het toch niet testen duh 8)7
Ja daaag... 8)7. Je moet het eerst indienen om te bewijzen dat het door de Apple keuring heen komt. Ja dan is het openbaar, en meld je het bij apple.

Als je het andersom doet zeggen ze waarschijnlijk, wij hadden dat wel gevonden :X.

Hulde voor deze man. _/-\o_ _/-\o_
Ten eerste heeft hij die auto netjes teruggebracht, ten tweede heeft ie BMW geinformeerd, en ten derde kan je een auto kopen als "testobject" om op in te breken. Er bestaat geen "testomgeving" van Apple's App Store, waardoor dit de enige mogelijkheid is om zoiets te bewijzen.
Je hoeft dit niet op deze manier te bewijzen. Als je zelf een app maakt, is de provisioning die bij je developer license hoort je testomgeving. Je app draait dan op je testtelefoon gewoon met dezelfde restricties als een app-store versie op een normale telefoon. Op die manier kan je dus bewijzen dat het werkt. Die proof of concept kan je doorgeven aan Apple, die vervolgens met alle plezier de bug zullen fixen.
Het klopt inderdaad dat er een testomgeving is voor het ontwikkelen van de Apps, maar het gaat hier niet om dat de App iets specifiek KAN, maar wel dat het door het screeningsproces is geraakt. En voor zover ik weet is er geen 'testomgeving' van het screening process.
Nee, hij toont aan dat het systeem dat de apps in de store toelaat de malware heeft doorgelaten, en er dus een lek is in het toelatingssysteem. Lijkt me niet dat je dat zelf kunt testen, tenzij de testomgeving ook dat toelatingssysteem heeft, en dat lijkt me sterk.

Het is verder wel weer typisch Apple, kill the messenger. Valt nog mee dat ze niet een legertje advocaten op hem afgestuurd hebben, maar wat niet is, kan nog komen.
Het gaat hier over de beveiliging van de appstore, en de limitaties die apple stelt aan applicaties in deze appstore. Als je een applicatie installeert op een testtelefoon dan ga je niet via de appstore, en kan je dat dus ook niet testen. ;)
Maar zonder dat die die app had gesubmit hadden we toch nooit kunnen weten dat er een gat zit in de beveiliging? Of zou hij hypothetisch hebben moeten weten dat apple zijn geheime controle systeem zijn hypothetische app zou toelaten?!
Hij heeft bewust iets gebouwd omdat hij vermoedde dat er een lek zat. Tenminste, het lijkt me niet logisch dat hij er ook bij toeval achter kwam. Hij had dat dus gewoon kunnen melden.
Nee, gewoon melden werkt niet. Probeer jij maar eens naar een kleiner bedrijf te bellen of mailen om iets te melden. Zelfs dan zal je melding in alle waarschijnlijkheid nooit doorkomen. Hij doet het op deze manier, omdat het dan doordringt. Hij heeft ook niet zijn app misbruikt, alleen maar in de app store geÔnstalleerd.
en dan krijg je 1000 meldingen van mensen die iets vermoeden maar dit niet kunnen staven... zolang hij de app niet heeft misbruikt heeft hij wettelijkgezien ook niets misdaan...

en dat voorbeeld van de bmw, als jij een bmw opend zonder schade toe te richten (lees breekschade, etc). en dit op een filmpje zet (zonder duidelijk te laten zien hoe het exact gaat), denk ik niet dat het OM je gaat vervolgen ook niet als die bmw toevallig van de directeur van bmw zelf was... zolang hij hem feitelijk niet wegneemt of steelt....
Neen, de code die hij geschreven heeft kan iedereen schrijven, het belang van zijn onderzoek is net dat dit soort applicaties ook door de selectie van Apple kan komen, daar draait het hele verhaal net om en dat kan je alleen maar door de app ook effectief te submitten.
Het lijkt me niet dat hij de auto steelt, hij laat alleen zien dat hij het slot openkrijgt en daarna meldt hij het netjes aan BMW.
Een briefje naar BMW had ook gewoon gewerkt...
Als je aan kan tonen dat het kan wel, maar als je het niet aan mag tonen hoe toon je dan iets aan?

Zonder een app in de market te zetten kon die het niet aantonen dat het door de controlle heen is gekomen he :P

Daarbij is een auto stelen wal wat anders als een App in een market zetten hoor... :)

[Reactie gewijzigd door watercoolertje op 8 november 2011 14:27]

Je vergelijking klopt niet.
Het gaat er hier om dat Apple zelf haar apps screent en dat deze malware dus door die screening is gekomen. Dit kun je alleen aantonen door het ook echt te doen, door dus echt het slot van BMW te kraken. Pas toen de onderzoeker het meldde kwam Apple erachter en hebben ze zijn licentie ingetrokken.
Wat had deze man dan moeten doen? Tegen Apple zeggen dat deze code misschien wel eens door de scan had kunnen komen? "Nee meneertje, dat kan echt niet want onze store is veilig. Gaat u maar weer rustig slapen." krijg je dan waarschijnlijk als antwoord. En dan komt een crimineel ook achter deze methode en gaat hier ťcht mee aan het werk.

Apple zou deze man moeten belonen, maar omdat hij negatieve publiciteit veroorzaakt ("kijk, de AppStore is toch niet zo veilig als ze zeggen!") zorgen ze gewoon dat hij dit nooit meer kan doen. Apple verdient een groot beveiligingsschandaal waarbij criminelen aan de haal gaan met dit soort exploits IMO, dat zal ze leren om behulpzame mensen te straffen.
Veel hangt af van de juiste procedure die hij heeft gevolgd. Als hij onmiddelijk na het bericht dat de App beschikbaar werd Apple heeft ingelicht en de App zelf er terug af heeft gehaald (als dat mogelijk is) dan is het iets heel anders dan wat jij beschrijft.

Dan zou het eerder zijn dat ik zou filmen hoe ik mijn eigen BMW steel en dat als proof of concept zou opsturen naar BMW.
Stel dat BMW een onveilig type slot op de deur van z'n auto's gebruikt en je weet dat. Om te bewijzen dat dat zo is steel je een auto, als 'proof of concept'. En dan raar opkijken dat de politie voor je deur staat om je te pakken voor het stelen van een auto. Een briefje naar BMW had ook gewoon gewerkt...
Briljante vergelijking weer. :Z
Een betere vergelijking zou zijn geweest dat je enkel probeert of je het onveilige slot daadwerkelijk makkelijk kan openen. De persoon in kwestie heeft niets gestolen.
Ik blijf het frapant vinden dat deze kerel z'n licentie is ingetrokken, terwijl hij het zelf gemeld heeft. Iemand meer info hierover, kon zelf weinig vinden
Dit is simpel, het is voor Apple een gevaar dat hij het opnieuw doet en dus opnieuw malware introduceert. Kwestie van een extra veiligheid?
Kwestie van extra veiligheid? Hij is een nette programmeur, hij geeft Apple tijd om het gat te dichten voordat hij het openbaar maakt.

Het zou een kwestie van extra veiligheid zijn als ze hem z'n gang laten gaan, hem belonen voor alle bugs die hij vindt, en ze op hun beurt weer oplossen.
Het zou goed kunnen dat het blokkeren van zijn developers account gewoon een standaard protocol is in zulke situaties. Als er dan een over enthousiaste mid-level executive zit die zich netjes aan de regels houd krijg je zulke situaties.

Apple heeft nog geen officiŽle reactie gegeven, dus ook dit is speculeren, maar dat is alles wat hier gepost wordt. Apple kennende zoeken ze eerst uit wŠt er precies aan de hand is en komen dan na een paar dagen met een officiŽle statement.

Het feit dat Apple bv. mensen als Saurik (Ontwikkelaar Cydia) een stageplek aanbiedt laat wel zien dat ze dergelijke mensen zeker wel 'waarderen' en erachter proberen te komen welke gaten er in hun systeem zitten. (zoals iedere OS ontwikkelaar)
Op deze wijze motiveert Apple niet echt mensen om, bij het vinden van het volgende gat in de beveiliging, ze ervan op de hoogte te stellen.

Mijns inziens een erg domme en kortzichtige actie van Apple.
Het zou goed kunnen dat het blokkeren van zijn developers account gewoon een standaard protocol is in zulke situaties. Als er dan een over enthousiaste mid-level executive zit die zich netjes aan de regels houd krijg je zulke situaties.
Dat hadden ze dan wel op een diplomatiekere manier kunnen laten weten. Betichting van misleiding is iets heel anders dan de ontwikkelaarslicentie voorlopig intrekken als voorzorgsmaatregel. Zo is het niet bepaald motiverend om nog verder mee te werken.

[Reactie gewijzigd door Aham brahmasmi op 8 november 2011 15:23]

keep on dreaming.
"Apple beticht hem van misleiding"
zegt genoeg.
Inderdaad ik kon het feit dat zijn licentie werd ingetrokken ook echt heel frappant. Deze hacker heeft volgens mij alleen nog maar lekken gevonden zonder ze te misbruiken. Misschien dat hij te grofgebekt tegen Apple te keer ging o.i.d. en dat Apple dat tegen de borst stuitte. Ik weet het ook niet.
Welnee, dit is gewoon een standaard procedure. Men neemt het zeker voor het onzekere en gaat tegelijkertijd als een gek kijken hoe hij dit voor elkaar krijgt. Stel dat het geen echte wetenschapper is, het is beter de boel eerst te blokkeren dan stil alles rustig uitzoeken... je hebt gezien wat dat met de populariteit van Sony deed.
Dan wordt het tijd dat ze die standaardprocedures aan gaan passen, want het siert ze niet. Gevalletje eerst schieten en dan vragen stellen.
Ik kan me goed voorstellen dat Apple even kijkt wat voor vlees ze in de kuip hebben. Stel dat de man de verleiding niet heeft kunnen weerstaan en ook ťchte kwaadaardige software in de store zet. Dat wil je als Apple zijnde niet.

Ze blokkeren hem nu even, zoeken alles even rustig uit, trekken de man na en als het echt een nette wetenschapper blijk te zijn, dan zal 'ie vast zijn licentie wel weer terug krijgen. Met een bloemetje wellicht.

Het klinkt even naar, dat klopt, maar het is wel verstandig van Apple.
hoe kon hij bevestigen dat het werkte zonder het eerst te testen???

als deze man slechte bedoelingen zou hebben zouden ze dat alsnog kunnen zien aan de app... en dat ze hem dan achteraf blokkeren hť..

nu blokkeren ze hem zonder dat ze enig bewijs hebben dat het een kwaadaardig persoon is. Da's net hetzelfde of je zou een manier ontdekken over hoe je de elektriciteitsmeter kan laten terudraaien, je meldt dit en je wordt meteen afgesloten om misbruik te voorkomen... stel je voor... terwijl je gewoon netjes je meter laat lopen en je gewoon per toeval dat ontdekt had ..
Ik heb liever dat ze iemand die een lek gevonden heeft blokkeren dan dat ze hem erbij laten. D'r zijn genoeg - veel te veel - hackers die zowel publiceren over hun hacks als het tegelijkertijd misbruiken. Je kunt niet zeker genoeg zijn met dit soort dingen.
Ja, want als je het wilt misbruiken kost het je toch ook *zo* veel moeite om op de naam van een kennis eventjes snel een nieuwe developer account te openen (kost je $100 dollar... wat niks is als je het echt wil misbruiken). Terwijl juist als je gewoon netjes zich aan de regels houd je dat niet zult doen (een account op iemand anders z'n naam openen), wat dus in het geval van deze gast wrs van toepassing is. Daarnaast hadden ze ook rustig gewoon deze app uit de app store kunnen halen, z'n huidige app approval requests (wrs geen 1) op pending houden totdat ze hun screening processen hebben verbeterd en daarna ze gewoon rustig screenen en approven + net zoals google nog een leuk sommetje geld over maken naar hem, omdat hij ze als eerste op de hoogte er van stelde en het lek niet publiceerde. En trouwens @iedereen, dit soort gedrag is alles behalve zeldzaam bij Apple, dus hou er rekening mee dat het goed mogelijk is dat er op dit soort manieren tal van dingen worden stilgezwegen/"opgelost" zonder dat de kern van de zaak proactief word aangepakt.
Ik denk dat het vooral Apples arrogante houding is waarin ze denken alles te mogen omdat het hun besturingssysteem of hardware is.
Haha, je bedoelt of ze controle mogen hebben wat er in de appstore staat? Ja, daar hebben ze het volste recht in.
Wie zegt dat hij werkelijk Apple de tijd gaf, voor hetzelfde geldt maakt hij al heel lang gebruik van zo'n hack en heeft hij inmiddels genoeg info/cash hieraan verdiend. Ook kun je niet met zekerheid stellen dat hij NIET de code al heeft verkocht aan malifide bedrijven..
Nee, want het is puur voor het onderzoek gedaan. Hij toont aan dat het kan, geeft Apple aan waar de fout is zodat het opgelost kan worden en verder niets. Dit soort mensen zou Apple juist moeten koesteren omdat dit soort bug reports enorm waardevol zijn om hun controlesysteem te verbeteren en te kijken of andere developers dit stiekem ook al hebben gedaan maar dan met slechte bedoelingen.
Dat had hij dan toch ook gewoon kunnen melden voordat hij een app aanbood? Hij heeft bewust een app gemaakt waarvan hij redelijk zeker was dat deze de beveilingschecks kon bypassen. Waarom dat niet gewoon melden?
Omdat dan dus niet getest is of een malafide app door de beveiliging heen kan komen. Dat kan alleen getest worden door het ook daadwerkelijk te doen.
Het testen van zo'n App is ook gewoon mensenwerk hoor. (ben zelf develeoper en heb meerdere apps gesubmit) Net zoals het schrijven van iOS 5 ook niet door robots gedaan wordt. Daar kunnen natuurlijk fouten in zitten. Dat bij het testen van gesubmitte apps die fouten niet direct gespot worden is niet zo vreemd. Het probleem zit hem dus niet zo zeer in de testprocedure maar in de software zelf. Het is dus na het vinden van een fout in iOS nergens voor nodig om eerst een app te submitten. Maar op die manier kan je het natuurlijk wel wat betere publiciteit geven.
Omdat het de waarde en geloofwaardigheid van zijn bevindingen kan schaden... een beveiliging testen heeft niet zoveel zin als de beveiliging weet waar en wanneer de test gaat plaats vinden.
Het is veel veiliger dat hij Apple hierover inlicht, dan dat hij het vindt maar niets doet ... enorm vreemde reactie van Apple.
enorm vreemde reactie van Apple.
Nee, je hebt een overeenkomst met Apple. In de voorwaarden staat nou net dat je dit soort grappen niet uit mag halen.
Dus Apple is liever in het ongewisse over mogelijke security flaws dan dat ze op de hoogte worden gesteld voordat er ernstige schade is berokkent?
nee, Apple wil liever als enige partij op de hoogte gesteld worden, zonder dat het aan de grote klok wordt gehangen en als het ff kan zelfs zonder proof-of-concept
Apple wil liever als enige partij op de hoogte gesteld worden, zonder dat het aan de grote klok wordt gehangen
Iemand die geen salaris van Apple krijgt mag hun code debuggen, netjes melden, geen misbruik van maken, ... en dan? Dan krijgt ie er helemaal niks voor terug (en bovendien, de ervaring bij veel bedrijven leert dat bugs keihard niet gefixed worden als ze niet publiekelijk bekend worden gemaakt). De media-aaandacht, de erkenning dat hij iets heel slims bedacht heeft is zijn "salaris"; als Apple dat niet zint, dan moeten ze maar iemand aannemen die ze betalen in geld.
Overigens, hoe weet je dat zijn developer-status niet opgezegd zou zijn als ie het alleen aan Apple had gemeld? Immers, ook dan zou ie de voorwaarden gebroken hebben!
en als het ff kan zelfs zonder proof-of-concept
Hoe weet je zonder proof-of-concept of je idee wel echt werkt? We kunnen Apple helemaal omver spammen met "weet je, als je nou dit en dat doet, misschien loop je dan tegen een bug aan", maar daar hebben ze natuurlijk helemaal niks aan.

Apple moet blij zijn dat ie het lek (1) niet misbruikt (2) bij Apple meldt (3) de details niet publiceert totdat het probleem verholpen is. Als ze willen dat ze geen slechte pers krijgen dan moeten ze maar zorgen dat er geen bugs in hun producten zitten.
en dan nemen ze het natuurlijk sirieus, kom aan apple is ook gewoon een commecieel bedrijf die af en toe grote fouten kan maken en deze het liefste naar /dev/null ziet verdwijnen.

als er al een excuus is voor dit gedrag van apple dan is het een incompetentie manager binnen apple die onterecht sman's account heeft geblokkeerd, het zou ze sieren als ze dit snel opmerken, en hem een flinke schouderklop geven voor de moeite, en dan heb ik het over meer dan zomaar een gratis iphone4S
Sterker nog, Apple heeft zeer wss gewoon geweten van dit probleem, net zoals met eerdere lekken in bv iOS wel bekend waren maar niet gepubliceerd... zoals de welbekende bug in het lock-systeem. Ze wisten er van maar begonnen pas met updaten toen de bug ook door een 'onafhankelijke onderzoeker' bekend werd gemaakt, te laat dus. Maar goed, dat zijn een beetje de instelling van Apple tegenwoordig, als je niet met ze bent dan ben je tegen ze... en nu zelfs al ben je met ze, dan vinden ze je ook niet lief. Ik heb het al vaker in topics gezegd, Apple is geworden wat ze MS altijd hebben verweten wat ze waren... evil. Ze zijn werkelijk iedereen die ze niet als 'vriend' beschouwen om de oren aan het slaan met patentzaken enzovoort.
Klopt, net zoals de bordjes: Verboden toegang helpen tegen elke vorm van inbraak.
Net wat de rest hier al zegt: Deze mensen moet je koesteren. Zij geven jou een goede vorm van feedback, en dat moet je niet afstraffen.
Eigenlijk mag je het gewoon niet tegen Apple zeggen als je dit soort grappen uithaalt. Zolang de marketingreputatie maar ongeschonden blijft!
Nee, je hebt een overeenkomst met Apple. In de voorwaarden staat nou net dat je dit soort grappen niet uit mag halen.
Dit is juist uiterst serieus. Het feit dat hij het zelf rappoteert aan Apple en aanstuurt op het dichten van het lek geeft wel aan dat hij de beste bedoelingen heeft. Erg kinderachtig om dan krampachtig te wijzen op de voorwaarden. Laat ze blij zijn dat er mensen zijn die (gratis) een bijdrage willen aan de veiligheid van de AppStore. Beetje stank voor dank dit.

Edit: Typo

[Reactie gewijzigd door Pb Pomper op 8 november 2011 17:21]

Ja, want het is altijd een goed idee om de nette ontdekkers van beveiligingsproblemen mond dood te maken, want er zijn helemaal geen mensen die als ze op deze manier behandeld worden, de volgende keer de vuile was gewoon op straat zetten. |:(

Maar wel raar hoor, want Apple staat er om bekend dat veiligheid Nr1 is, en hun open en vriendelijkheid tegenover de app devvers.

[Reactie gewijzigd door player-x op 8 november 2011 14:47]

Bij Apple heeft de veiligheid NOOIT op nummer 1 gestaan, kijk maar naar de snelheid van updates voor al hun OS'en.
Raar dat jij met zo'n uitspraak durft komen..
En hoeveel enorme risico's zijn er met OSX dan zo ontzettend laat pas gepatched?
En hoeveel enorme risico's zijn er met OSX dan zo ontzettend laat pas gepatched?
Java exploit, 3 maanden na de vondst, door sun.. Windows had het gepatched en Apple na aandringen van de gebruikers en sun na 3 maanden, En het werdt in the wild al exploited...
dus ja.. ;)
3 maanden, zo lang zie ik MS het vaak ook gewoon doen moet ik zeggen. En dat is 1 voorbeeld?
Dit is in mijn ogen geen goede reden. Immers: als hij kwade zin had, dan had hij het natuurlijk niet gemeld. Het aanmaken van een nieuw dev. account onder een andere naam/op naam van iemand anders is natuurlijk net zo makkelijk gedaan.
Op deze manier creŽert Apple eerder een probleem dan dat het iets oplost. Dat ze het niet leuk vinden dat er nu een app doorheen slipt vinden ze niet leuk en terecht. Echter zorg je hiervoor dat volgende mensen die een gat vinden het wel laten om Apple hierover te berichten, omdat ze anders hun ontwikkelaarslicentie kwijtraken.

Een ethische hacker die niets publiceert en het bedrijf zelf erover bericht afstraffen door zijn licentie in te trekken? Ik volg het niet.
Dat noemen ze nou security through obscurity. Niet echt aan te raden.
Maar wat voor signaal geef je hier naar de buitenwereld toe?
Namelijk, klokkenluiders worden bestraft? Het ontdekken van beveiligingslekken en dit doorgeven aan het bedrijf in kwestie zonder het lek zelf uit te lekken is slecht gedrag?

Dit had beter aangepakt kunnen worden.
Waarom zijn licentie intrekken? Als hij Apple schade wou toebrengen, had hij het beveiligingslek publiek gemaakt. Hetgeen hij dus niet heeft gedaan.
En als hij Apple wel schade wil toebrengen, kan hij toch perfect via een andere licentie (op naam van andere - al dan niet bevriende - ontwikkelaar) een besmette app in de Apple Store plaatsen?
Extra veiligheid? Het zou toch doodsimpel voor die man moeten zijn om contact met een andere ontwikkelaar te zoeken. Op die manier kan hij via zijn account een soortgelijke app in de store krijgen. Waarschijnlijk doet hij dit niet, want hij meld het netjes bij Apple (toch?). Daarnaast geeft ie het ook toe, dat getuigt niet van slechte bedoelingen.

Beetje overdreven van Apple om zijn licentie in te trekken. Een bedankje zou gepaster zijn.
Dus Apple heeft liever dat beveiligingsonderzoekers niets doen, geen lekken opsporen en dat kwaadwillenden hun gang kunnen gaan omdat zolang het dan niet uitkomt hun image geen schade oploopt.
Apples ontwijkende en beschermende reaktie is misschien voor volgelingen positief maar voor de rest van de wereld wereldvreemd.
En nu is het nog geeneens Steve Jobs zelf die ontkent dat er een probleem is, zoals bij het antenne probleem.
Gedraag je als een volwassen bedrijf en gebruik dit in plaats van de boodschapper te schofferen.
Iedere licentiehouder probeert het maximale met zijn applikaties te bereiken.
Met Lektober bleek dat er in bijna ieder systeem openingen zitten en dat zonder publicatie hiervan er heel vaak niets met de aangeleverde lekken werd gedaan.
Ik vind niet zo simpel hoor. Hij heeft al eerder Apple geholpen met lekken. Ik vind het daarom niet netjes dat ze hem nu zijn licentie afgeven.
Kwestie van stupiditeit en megalomanie. Wat nu als hij, of de volgende die iets ontdekt, hetzelfde standpunt in neemt en apple niet zijn methodes geeft maar het aan de hackers community geeft?
Waar een groot bedrijf klein in kan zijn..
Onzin, zijn zus kan zich ook aanmelden als developer, etc.
Apple is nu eenmaal onfeilbaar. ;)

Ik vind het in ieder geval ook een zware reactie. Als hij niets had gemeld had hij zijn kennis ook kunnen verkopen aan echte malware makers. Apple zou hem juist dankbaar moeten zijn, maar dan zouden ze moeten toegeven dat er toch wel security-issues zijn met hun AppStore en dat zou slechte reclame zijn.
Inderdaad.
De volgende keer dat iemand een beveiligingslek vindt in de apple store (of misschien wel andere apple producten), zal dit simpelweg niet meer gemeld worden.

Apple creeert hier een zeer slecht klimaat voor (bonafide) beveiligingsonderzoekers
Het staat echter wel in de voorwaarden. Maar deze man wou even testen of zo'n lek natuurlijk door de keuring van Apple komt.

Dit is inderdaad heel slecht van Apple om zijn account in te trekken. Mompelt iets over macht gebruiken waar het kan... typisch apple. De reden waarom ik dus ook bij iOS weg blijf. En zolang OSX is zoals het is blijf ik.. maar als ze OSX meer closed maken en ook van dit soort fratsen uithalen ben ik weg.
Macht gebruiken waar het moet. Hackers mogen de beveiliging van iOS niet omzeilen en geen privťgegevens van gebruikers verzamelen zonder hun toestemming - simple as.

Jij mag ook geen 400 rijden op de snelweg om aan te tonen dat flitsers soms niet werken op die snelheid, ook al breng je aan het licht dat de flitsers gelimiteerd zijn.
Ik vind het vreemd waarom hij het lek niet aan Apple meldt maar zelf met zn hoofd op een youtube filmpje een en andere wereldkundig maakt. Terechte sanctie van Apple wat mij betreft.

edit:

Het staat in de voorwaarden dat je niet mag rommelen met security in de App store. Iedereen kan zich wel securityonderzoeker noemen en dit soort ongein uithalen. De onderzoeker denkt dat de regels voor hem niet gelden, nou sorry, dit is dan zijn wakeupcall.

[Reactie gewijzigd door boksbeugel op 8 november 2011 14:43]

ja man echt terecht mensen die proberen je software beter te maken te ontnemen van hun ontwikkel rechten.....

als je het artikel geleen hebt dan had je kunnen lezen dat hij het apple wel heeft gemeld
Wat een rare manier van denken hebben veel mensen toch. Als je ziet dat iemands deur open staat ga je toch ook niet eerst zijn huis leegroven om aan te tonen dat de deur open stond? Dan ga je even naar die mensen toe en zeg je dat de deur open staat. Als deze ontwikkelaar dat gedaan had, waren zijn rechten er nog gewoon geweest.
Als er een deur open staat loop je misschien ook wel het huis in om tegen de eigenaar te zeggen dat de deur open staat.

Deze man heeft waarschijnlijk niet de controle systemen waarmee Apple nieuwe apps controleert, dus hij weet niet of er een lek is zonder het uit te proberen. De enige manier om dat te testen is een app uploaden naar de market.
Precies wat ik bedoel.....

als hij er kwaad mee had willen doen, had hij echt niet apple verteld dat hij deze software had geschreven. Dan was het regelrecht een of ander hackerforum opgeknald.....
misschien komt het wel overeen met wat de regeltjes van apple voorschrijven, dan hebt je liever iemand die openbaar maakt dat er een gat in je defensie zit ipv dat ie het gat gaat gebruiken. Om dan dit soort dingen te doen lijkt me niet een goede zet......
Als er een deur open staat loop je misschien ook wel het huis in om tegen de eigenaar te zeggen dat de deur open staat.
Helemaal niet.
Je constateert de openstaande deur, je belt aan en wacht netjes buiten totdat iemand de bel komt beantwoorden.
Anders is het gewoon huisvredebreuk.
Nee hoor ik loop naar binnen en roep gewoon de deur staat open.
Kan je een jaar gevangenisstraf kosten.
Wetboek van strafrecht, artikel 138, sub 1:
Hij die in de woning of het besloten lokaal of erf, bij een ander in gebruik, wederrechtelijk binnendringt of, wederrechtelijk aldaar vertoevende, zich niet op de vordering van of vanwege de rechthebbende aanstonds verwijdert, wordt gestraft met gevangenisstraf van ten hoogste een jaar of geldboete van de derde categorie.
Nee hoor ik loop naar binnen en roep gewoon de deur staat open.
Dat je bij me binnen staat is geen bewijs dat de deur open stond. Verder wordt men tegenwoordig aangemoedigd overtreders en andere criminelen te fotograferen als bewijs. Hangen zul je ;)

Als je al langs de honden komt.
Niet leegroven. Wel even binnenstappen en roepen of er iemand is. Vervolgens even zeggen dat zijn deur open staat en iedereen zomaar naar binnen kan.
Negeert hij het probleem dan zou ik best eens aan een vriend vragen om ook eens hetzelfde te doen in de hoop dat hij dan wel zijn deur dicht maakt.

Bij Apple en de ontwikkelaar hetzelfde geval. De ontwikkelaar maakt de app en zet hem in de app store, maar ik vermoed dat hij hem niet gebruikt heeft om zomaar andere dingen te installeren bij mensen.
wat een DOM voorbeeld, nu iets anders...

bedrijf x staat er om bekend (en dan is er ECHT geen verschil tussen MS Sony apple of eender welke toko) niet zo schortig te zijn met veiligheid, want wat maakt het ook uit... toch? nu hebben ze een of andere bio-wapen gewoon min of meer op straat liggen,
om dit aan de kaak te stellen neemt de onderzoeker de proef op de som en om het te beweeizen neemt hij een monster van het goedje, en maakt het vervolgens wereldkundig, zonder exact uit te leggen hoe hij eraan gekomen is zodat kwaadwillenden hem niet kunnen nadoen...

vervolgens wordt hij betiteld als crimineel, en waarvoor, omdat hij duizenden burgers probeerd te beschermen tegen mogelijk kwaadwillenden?...
tsja, misschien was een melding wel in de archieven gegaan en was er niets mee gebeurd, zo moet apple er wel wat mee doen, plus het laat zien dat de appstore helemaal niet zo veilig is als men vaak denkt.

[Reactie gewijzigd door Fly-guy op 8 november 2011 14:35]

Nou, dan moet je het artikel lezen:
Hoe hij de kwaadaardige code geheim kon houden, is onbekend. Miller geeft vooralsnog geen details vrij, zodat Apple het gat in de applicatiewinkel kan dichten.
En wie zecht dat hij het niet gemeld heeft aan Apple? Er is imho meer dan enkel een meldingsplicht aan de developer. Ook de klant heeft het recht om te weten dat een systeem dat als veilig bekend staat ook zwakheden heeft.
Als hij nu gewoon echt een punt wil maken tegenover Apple, dan moet hij zijn code gewoon meteen vrijgeven. Dan zal Apple wel schrikken.
Dit is hoe dan ook slechte reputatie voor Apple, Apple had liever gehad dat het lek nooit aan het licht was gekomen of dat zij zelf de kans hadden gehad om het te repareren.
Ik had het beter gevonden om de kwetsbaarheid te melden en de app achter de hand te houden in geval dat Apple het wou doodzwijgen. Nu ligt hij buiten en is hij het geld van z'n licentie kwijt.

Het mag flauw lijken van Apple, maar sommige dingen doe je imo beter niet. Immers, als iedereen zo'n apps gaat ontwikkelen dan is Apple wel wat gekloot.

En vanuit de geÔnstalleerde app? Kan je zo 'terugwerken' naar de exploit??

Moraal van het verhaal: gewoon melden en niet de aandachtshoer spelen!

[Reactie gewijzigd door ctgilles op 8 november 2011 14:21]

Het hele idee was om te laten zien dat de check van apple niet 100% is, hoe zou je dat anders willen testen? als je apple van te voren op de hoogte zou stellen is het resultaat niet meer representatief.
Wat is er dan verkeerd aan de app maken en deze doorsturen naar Apple met de boodschap "dit is een stoute app, kijk eens of die door je QC komt"? Intern beoordelen is ook mogelijk hoor.
Nee, ik hou niet van Apple maar ze hebben hier wel deels gelijk. Akkoord dat het wel erg streng is maar toch...

Amen @ ltcom hieronder. Zo zie ik het ook.

[Reactie gewijzigd door ctgilles op 8 november 2011 14:38]

Apple beticht hem echter van misleiding en heeft zijn ontwikkelaarslicentie ingetrokken; Miller mag geen apps meer maken voor Apples mobiele platform, schrijft het bedrijf in een brief.
Ze mogen blij zijn dat er Łberhaupt nog mensen zijn die hen helpen met het opsporen van beveiligingslekken als ze die mensen vervolgens zo behandelen.
[...]

Ze mogen blij zijn dat er Łberhaupt nog mensen zijn die hen helpen met het opsporen van beveiligingslekken als ze die mensen vervolgens zo behandelen.
Hij had ook niks hoeven zeggen en gewoon misbruik kunnen maken van deze hack..
En als dank je wordt je geblocked en zo behandeld.. Zo ga je dus om met je gebruikers/devvers :X
Miller laat in een video zien dat hij met InstaStock, een programma voor het bekijken van beurskoersen, onder meer adresgegevens van contactpersonen kan downloaden.
Voor de geÔntresseerden: http://www.youtube.com/watch?v=ynTtuwQYNmk

[Reactie gewijzigd door Hipska op 8 november 2011 14:18]

Elk systeem heeft zo z'n bugs.

Het is alleen wel jammer dat de gebruikers de dupe worden door al die bugs. Op deze manier zul iOs ook minder vertrouwen geven kwa veiligheid aan de gebruikers.

Ook jammer dat Apple zijn licentie intrekt. Je moet zulke onderzoekers dankbaar zijn !
Apple beticht hem echter van misleiding en heeft zijn ontwikkelaarslicentie ingetrokken;
Jammer dat bedrijven vaak op deze manier reageren, dit werkt in de hand dat mensen die oprecht zijn hun hack eerder zullen doorverkopen in plaats van melden.

Op dit item kan niet meer gereageerd worden.



LG Nexus 5X Apple iPhone 6s FIFA 16 Microsoft Windows 10 Home NL Star Wars: Battlefront (2015) Samsung Gear S2 Skylake Samsung Galaxy S6 edge+

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True