Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 161, views: 23.247 •
Submitter: rooot

Beveiligingsdeskundige Charlie Miller heeft een manier gevonden om de strenge eisen van Apples mobiele App Store te omzeilen. Hij kreeg kwaadaardige code in de iOS-applicatiewinkel, zonder dat Apples beveiligingssoftware de malware herkende.

Hackers kunnen door het iOS5-lek verschillende kwaadaardige applicaties in de App Store plaatsen, constateert Miller. Hij bouwde een prototype dat ongevraagd software op een toestel kon installeren en stuurde zijn exemplaar in naar Apple. Daar kwam de app volgens Miller zonder problemen langs de beveiligingseisen van Apple.

Miller laat in een video zien dat hij met InstaStock, een programma voor het bekijken van beurskoersen, onder meer adresgegevens van contactpersonen kan downloaden. Hoe hij de kwaadaardige code geheim kon houden, is onbekend. Miller geeft vooralsnog geen details vrij, zodat Apple het gat in de applicatiewinkel kan dichten. Apple beticht hem echter van misleiding en heeft zijn ontwikkelaarslicentie ingetrokken; Miller mag geen apps meer maken voor Apples mobiele platform, schrijft het bedrijf in een brief.

De applicaties in de App Store staan over het algemeen als veilig te boek, omdat Apple een streng beleid hanteert. “Tot nu kon je ervan uitgaan dat de App Store veilig was. Nu heb je geen idee wat een app misschien kan doen”, benadrukt Miller tegenover Reuters.

Reacties (161)

Reactiefilter:-11610146+193+28+30
Ik blijf het frapant vinden dat deze kerel z'n licentie is ingetrokken, terwijl hij het zelf gemeld heeft. Iemand meer info hierover, kon zelf weinig vinden
Dit is simpel, het is voor Apple een gevaar dat hij het opnieuw doet en dus opnieuw malware introduceert. Kwestie van een extra veiligheid?
Kwestie van extra veiligheid? Hij is een nette programmeur, hij geeft Apple tijd om het gat te dichten voordat hij het openbaar maakt.

Het zou een kwestie van extra veiligheid zijn als ze hem z'n gang laten gaan, hem belonen voor alle bugs die hij vindt, en ze op hun beurt weer oplossen.
Inderdaad ik kon het feit dat zijn licentie werd ingetrokken ook echt heel frappant. Deze hacker heeft volgens mij alleen nog maar lekken gevonden zonder ze te misbruiken. Misschien dat hij te grofgebekt tegen Apple te keer ging o.i.d. en dat Apple dat tegen de borst stuitte. Ik weet het ook niet.
Welnee, dit is gewoon een standaard procedure. Men neemt het zeker voor het onzekere en gaat tegelijkertijd als een gek kijken hoe hij dit voor elkaar krijgt. Stel dat het geen echte wetenschapper is, het is beter de boel eerst te blokkeren dan stil alles rustig uitzoeken... je hebt gezien wat dat met de populariteit van Sony deed.
Dan wordt het tijd dat ze die standaardprocedures aan gaan passen, want het siert ze niet. Gevalletje eerst schieten en dan vragen stellen.
Ik kan me goed voorstellen dat Apple even kijkt wat voor vlees ze in de kuip hebben. Stel dat de man de verleiding niet heeft kunnen weerstaan en ook ťchte kwaadaardige software in de store zet. Dat wil je als Apple zijnde niet.

Ze blokkeren hem nu even, zoeken alles even rustig uit, trekken de man na en als het echt een nette wetenschapper blijk te zijn, dan zal 'ie vast zijn licentie wel weer terug krijgen. Met een bloemetje wellicht.

Het klinkt even naar, dat klopt, maar het is wel verstandig van Apple.
hoe kon hij bevestigen dat het werkte zonder het eerst te testen???

als deze man slechte bedoelingen zou hebben zouden ze dat alsnog kunnen zien aan de app... en dat ze hem dan achteraf blokkeren hť..

nu blokkeren ze hem zonder dat ze enig bewijs hebben dat het een kwaadaardig persoon is. Da's net hetzelfde of je zou een manier ontdekken over hoe je de elektriciteitsmeter kan laten terudraaien, je meldt dit en je wordt meteen afgesloten om misbruik te voorkomen... stel je voor... terwijl je gewoon netjes je meter laat lopen en je gewoon per toeval dat ontdekt had ..
Ik heb liever dat ze iemand die een lek gevonden heeft blokkeren dan dat ze hem erbij laten. D'r zijn genoeg - veel te veel - hackers die zowel publiceren over hun hacks als het tegelijkertijd misbruiken. Je kunt niet zeker genoeg zijn met dit soort dingen.
Ja, want als je het wilt misbruiken kost het je toch ook *zo* veel moeite om op de naam van een kennis eventjes snel een nieuwe developer account te openen (kost je $100 dollar... wat niks is als je het echt wil misbruiken). Terwijl juist als je gewoon netjes zich aan de regels houd je dat niet zult doen (een account op iemand anders z'n naam openen), wat dus in het geval van deze gast wrs van toepassing is. Daarnaast hadden ze ook rustig gewoon deze app uit de app store kunnen halen, z'n huidige app approval requests (wrs geen 1) op pending houden totdat ze hun screening processen hebben verbeterd en daarna ze gewoon rustig screenen en approven + net zoals google nog een leuk sommetje geld over maken naar hem, omdat hij ze als eerste op de hoogte er van stelde en het lek niet publiceerde. En trouwens @iedereen, dit soort gedrag is alles behalve zeldzaam bij Apple, dus hou er rekening mee dat het goed mogelijk is dat er op dit soort manieren tal van dingen worden stilgezwegen/"opgelost" zonder dat de kern van de zaak proactief word aangepakt.
Ik denk dat het vooral Apples arrogante houding is waarin ze denken alles te mogen omdat het hun besturingssysteem of hardware is.
Haha, je bedoelt of ze controle mogen hebben wat er in de appstore staat? Ja, daar hebben ze het volste recht in.
Het zou goed kunnen dat het blokkeren van zijn developers account gewoon een standaard protocol is in zulke situaties. Als er dan een over enthousiaste mid-level executive zit die zich netjes aan de regels houd krijg je zulke situaties.

Apple heeft nog geen officiŽle reactie gegeven, dus ook dit is speculeren, maar dat is alles wat hier gepost wordt. Apple kennende zoeken ze eerst uit wŠt er precies aan de hand is en komen dan na een paar dagen met een officiŽle statement.

Het feit dat Apple bv. mensen als Saurik (Ontwikkelaar Cydia) een stageplek aanbiedt laat wel zien dat ze dergelijke mensen zeker wel 'waarderen' en erachter proberen te komen welke gaten er in hun systeem zitten. (zoals iedere OS ontwikkelaar)
Op deze wijze motiveert Apple niet echt mensen om, bij het vinden van het volgende gat in de beveiliging, ze ervan op de hoogte te stellen.

Mijns inziens een erg domme en kortzichtige actie van Apple.
Het zou goed kunnen dat het blokkeren van zijn developers account gewoon een standaard protocol is in zulke situaties. Als er dan een over enthousiaste mid-level executive zit die zich netjes aan de regels houd krijg je zulke situaties.
Dat hadden ze dan wel op een diplomatiekere manier kunnen laten weten. Betichting van misleiding is iets heel anders dan de ontwikkelaarslicentie voorlopig intrekken als voorzorgsmaatregel. Zo is het niet bepaald motiverend om nog verder mee te werken.

[Reactie gewijzigd door Aham brahmasmi op 8 november 2011 15:23]

keep on dreaming.
"Apple beticht hem van misleiding"
zegt genoeg.
Wie zegt dat hij werkelijk Apple de tijd gaf, voor hetzelfde geldt maakt hij al heel lang gebruik van zo'n hack en heeft hij inmiddels genoeg info/cash hieraan verdiend. Ook kun je niet met zekerheid stellen dat hij NIET de code al heeft verkocht aan malifide bedrijven..
Het is veel veiliger dat hij Apple hierover inlicht, dan dat hij het vindt maar niets doet ... enorm vreemde reactie van Apple.
enorm vreemde reactie van Apple.
Nee, je hebt een overeenkomst met Apple. In de voorwaarden staat nou net dat je dit soort grappen niet uit mag halen.
Klopt, net zoals de bordjes: Verboden toegang helpen tegen elke vorm van inbraak.
Net wat de rest hier al zegt: Deze mensen moet je koesteren. Zij geven jou een goede vorm van feedback, en dat moet je niet afstraffen.
Dus Apple is liever in het ongewisse over mogelijke security flaws dan dat ze op de hoogte worden gesteld voordat er ernstige schade is berokkent?
nee, Apple wil liever als enige partij op de hoogte gesteld worden, zonder dat het aan de grote klok wordt gehangen en als het ff kan zelfs zonder proof-of-concept
en dan nemen ze het natuurlijk sirieus, kom aan apple is ook gewoon een commecieel bedrijf die af en toe grote fouten kan maken en deze het liefste naar /dev/null ziet verdwijnen.

als er al een excuus is voor dit gedrag van apple dan is het een incompetentie manager binnen apple die onterecht sman's account heeft geblokkeerd, het zou ze sieren als ze dit snel opmerken, en hem een flinke schouderklop geven voor de moeite, en dan heb ik het over meer dan zomaar een gratis iphone4S
Apple wil liever als enige partij op de hoogte gesteld worden, zonder dat het aan de grote klok wordt gehangen
Iemand die geen salaris van Apple krijgt mag hun code debuggen, netjes melden, geen misbruik van maken, ... en dan? Dan krijgt ie er helemaal niks voor terug (en bovendien, de ervaring bij veel bedrijven leert dat bugs keihard niet gefixed worden als ze niet publiekelijk bekend worden gemaakt). De media-aaandacht, de erkenning dat hij iets heel slims bedacht heeft is zijn "salaris"; als Apple dat niet zint, dan moeten ze maar iemand aannemen die ze betalen in geld.
Overigens, hoe weet je dat zijn developer-status niet opgezegd zou zijn als ie het alleen aan Apple had gemeld? Immers, ook dan zou ie de voorwaarden gebroken hebben!
en als het ff kan zelfs zonder proof-of-concept
Hoe weet je zonder proof-of-concept of je idee wel echt werkt? We kunnen Apple helemaal omver spammen met "weet je, als je nou dit en dat doet, misschien loop je dan tegen een bug aan", maar daar hebben ze natuurlijk helemaal niks aan.

Apple moet blij zijn dat ie het lek (1) niet misbruikt (2) bij Apple meldt (3) de details niet publiceert totdat het probleem verholpen is. Als ze willen dat ze geen slechte pers krijgen dan moeten ze maar zorgen dat er geen bugs in hun producten zitten.
Sterker nog, Apple heeft zeer wss gewoon geweten van dit probleem, net zoals met eerdere lekken in bv iOS wel bekend waren maar niet gepubliceerd... zoals de welbekende bug in het lock-systeem. Ze wisten er van maar begonnen pas met updaten toen de bug ook door een 'onafhankelijke onderzoeker' bekend werd gemaakt, te laat dus. Maar goed, dat zijn een beetje de instelling van Apple tegenwoordig, als je niet met ze bent dan ben je tegen ze... en nu zelfs al ben je met ze, dan vinden ze je ook niet lief. Ik heb het al vaker in topics gezegd, Apple is geworden wat ze MS altijd hebben verweten wat ze waren... evil. Ze zijn werkelijk iedereen die ze niet als 'vriend' beschouwen om de oren aan het slaan met patentzaken enzovoort.
Ja, want het is altijd een goed idee om de nette ontdekkers van beveiligingsproblemen mond dood te maken, want er zijn helemaal geen mensen die als ze op deze manier behandeld worden, de volgende keer de vuile was gewoon op straat zetten. |:(

Maar wel raar hoor, want Apple staat er om bekend dat veiligheid Nr1 is, en hun open en vriendelijkheid tegenover de app devvers.

[Reactie gewijzigd door player-x op 8 november 2011 14:47]

Bij Apple heeft de veiligheid NOOIT op nummer 1 gestaan, kijk maar naar de snelheid van updates voor al hun OS'en.
Raar dat jij met zo'n uitspraak durft komen..
En hoeveel enorme risico's zijn er met OSX dan zo ontzettend laat pas gepatched?
En hoeveel enorme risico's zijn er met OSX dan zo ontzettend laat pas gepatched?
Java exploit, 3 maanden na de vondst, door sun.. Windows had het gepatched en Apple na aandringen van de gebruikers en sun na 3 maanden, En het werdt in the wild al exploited...
dus ja.. ;)
3 maanden, zo lang zie ik MS het vaak ook gewoon doen moet ik zeggen. En dat is 1 voorbeeld?
Eigenlijk mag je het gewoon niet tegen Apple zeggen als je dit soort grappen uithaalt. Zolang de marketingreputatie maar ongeschonden blijft!
Nee, je hebt een overeenkomst met Apple. In de voorwaarden staat nou net dat je dit soort grappen niet uit mag halen.
Dit is juist uiterst serieus. Het feit dat hij het zelf rappoteert aan Apple en aanstuurt op het dichten van het lek geeft wel aan dat hij de beste bedoelingen heeft. Erg kinderachtig om dan krampachtig te wijzen op de voorwaarden. Laat ze blij zijn dat er mensen zijn die (gratis) een bijdrage willen aan de veiligheid van de AppStore. Beetje stank voor dank dit.

Edit: Typo

[Reactie gewijzigd door Pb Pomper op 8 november 2011 17:21]

Dit is in mijn ogen geen goede reden. Immers: als hij kwade zin had, dan had hij het natuurlijk niet gemeld. Het aanmaken van een nieuw dev. account onder een andere naam/op naam van iemand anders is natuurlijk net zo makkelijk gedaan.
Nee, want het is puur voor het onderzoek gedaan. Hij toont aan dat het kan, geeft Apple aan waar de fout is zodat het opgelost kan worden en verder niets. Dit soort mensen zou Apple juist moeten koesteren omdat dit soort bug reports enorm waardevol zijn om hun controlesysteem te verbeteren en te kijken of andere developers dit stiekem ook al hebben gedaan maar dan met slechte bedoelingen.
Dat had hij dan toch ook gewoon kunnen melden voordat hij een app aanbood? Hij heeft bewust een app gemaakt waarvan hij redelijk zeker was dat deze de beveilingschecks kon bypassen. Waarom dat niet gewoon melden?
Omdat het de waarde en geloofwaardigheid van zijn bevindingen kan schaden... een beveiliging testen heeft niet zoveel zin als de beveiliging weet waar en wanneer de test gaat plaats vinden.
Omdat dan dus niet getest is of een malafide app door de beveiliging heen kan komen. Dat kan alleen getest worden door het ook daadwerkelijk te doen.
Het testen van zo'n App is ook gewoon mensenwerk hoor. (ben zelf develeoper en heb meerdere apps gesubmit) Net zoals het schrijven van iOS 5 ook niet door robots gedaan wordt. Daar kunnen natuurlijk fouten in zitten. Dat bij het testen van gesubmitte apps die fouten niet direct gespot worden is niet zo vreemd. Het probleem zit hem dus niet zo zeer in de testprocedure maar in de software zelf. Het is dus na het vinden van een fout in iOS nergens voor nodig om eerst een app te submitten. Maar op die manier kan je het natuurlijk wel wat betere publiciteit geven.
Op deze manier creŽert Apple eerder een probleem dan dat het iets oplost. Dat ze het niet leuk vinden dat er nu een app doorheen slipt vinden ze niet leuk en terecht. Echter zorg je hiervoor dat volgende mensen die een gat vinden het wel laten om Apple hierover te berichten, omdat ze anders hun ontwikkelaarslicentie kwijtraken.

Een ethische hacker die niets publiceert en het bedrijf zelf erover bericht afstraffen door zijn licentie in te trekken? Ik volg het niet.
Dat noemen ze nou security through obscurity. Niet echt aan te raden.
Maar wat voor signaal geef je hier naar de buitenwereld toe?
Namelijk, klokkenluiders worden bestraft? Het ontdekken van beveiligingslekken en dit doorgeven aan het bedrijf in kwestie zonder het lek zelf uit te lekken is slecht gedrag?

Dit had beter aangepakt kunnen worden.
Waarom zijn licentie intrekken? Als hij Apple schade wou toebrengen, had hij het beveiligingslek publiek gemaakt. Hetgeen hij dus niet heeft gedaan.
En als hij Apple wel schade wil toebrengen, kan hij toch perfect via een andere licentie (op naam van andere - al dan niet bevriende - ontwikkelaar) een besmette app in de Apple Store plaatsen?
Kwestie van stupiditeit en megalomanie. Wat nu als hij, of de volgende die iets ontdekt, hetzelfde standpunt in neemt en apple niet zijn methodes geeft maar het aan de hackers community geeft?
Waar een groot bedrijf klein in kan zijn..
Extra veiligheid? Het zou toch doodsimpel voor die man moeten zijn om contact met een andere ontwikkelaar te zoeken. Op die manier kan hij via zijn account een soortgelijke app in de store krijgen. Waarschijnlijk doet hij dit niet, want hij meld het netjes bij Apple (toch?). Daarnaast geeft ie het ook toe, dat getuigt niet van slechte bedoelingen.

Beetje overdreven van Apple om zijn licentie in te trekken. Een bedankje zou gepaster zijn.
Dus Apple heeft liever dat beveiligingsonderzoekers niets doen, geen lekken opsporen en dat kwaadwillenden hun gang kunnen gaan omdat zolang het dan niet uitkomt hun image geen schade oploopt.
Apples ontwijkende en beschermende reaktie is misschien voor volgelingen positief maar voor de rest van de wereld wereldvreemd.
En nu is het nog geeneens Steve Jobs zelf die ontkent dat er een probleem is, zoals bij het antenne probleem.
Gedraag je als een volwassen bedrijf en gebruik dit in plaats van de boodschapper te schofferen.
Iedere licentiehouder probeert het maximale met zijn applikaties te bereiken.
Met Lektober bleek dat er in bijna ieder systeem openingen zitten en dat zonder publicatie hiervan er heel vaak niets met de aangeleverde lekken werd gedaan.
Ik vind niet zo simpel hoor. Hij heeft al eerder Apple geholpen met lekken. Ik vind het daarom niet netjes dat ze hem nu zijn licentie afgeven.
Onzin, zijn zus kan zich ook aanmelden als developer, etc.
Ik vind het vreemd waarom hij het lek niet aan Apple meldt maar zelf met zn hoofd op een youtube filmpje een en andere wereldkundig maakt. Terechte sanctie van Apple wat mij betreft.

edit:

Het staat in de voorwaarden dat je niet mag rommelen met security in de App store. Iedereen kan zich wel securityonderzoeker noemen en dit soort ongein uithalen. De onderzoeker denkt dat de regels voor hem niet gelden, nou sorry, dit is dan zijn wakeupcall.

[Reactie gewijzigd door boksbeugel op 8 november 2011 14:43]

ja man echt terecht mensen die proberen je software beter te maken te ontnemen van hun ontwikkel rechten.....

als je het artikel geleen hebt dan had je kunnen lezen dat hij het apple wel heeft gemeld
Wat een rare manier van denken hebben veel mensen toch. Als je ziet dat iemands deur open staat ga je toch ook niet eerst zijn huis leegroven om aan te tonen dat de deur open stond? Dan ga je even naar die mensen toe en zeg je dat de deur open staat. Als deze ontwikkelaar dat gedaan had, waren zijn rechten er nog gewoon geweest.
Als er een deur open staat loop je misschien ook wel het huis in om tegen de eigenaar te zeggen dat de deur open staat.

Deze man heeft waarschijnlijk niet de controle systemen waarmee Apple nieuwe apps controleert, dus hij weet niet of er een lek is zonder het uit te proberen. De enige manier om dat te testen is een app uploaden naar de market.
Precies wat ik bedoel.....

als hij er kwaad mee had willen doen, had hij echt niet apple verteld dat hij deze software had geschreven. Dan was het regelrecht een of ander hackerforum opgeknald.....
misschien komt het wel overeen met wat de regeltjes van apple voorschrijven, dan hebt je liever iemand die openbaar maakt dat er een gat in je defensie zit ipv dat ie het gat gaat gebruiken. Om dan dit soort dingen te doen lijkt me niet een goede zet......
Als er een deur open staat loop je misschien ook wel het huis in om tegen de eigenaar te zeggen dat de deur open staat.
Helemaal niet.
Je constateert de openstaande deur, je belt aan en wacht netjes buiten totdat iemand de bel komt beantwoorden.
Anders is het gewoon huisvredebreuk.
Nee hoor ik loop naar binnen en roep gewoon de deur staat open.
Kan je een jaar gevangenisstraf kosten.
Wetboek van strafrecht, artikel 138, sub 1:
Hij die in de woning of het besloten lokaal of erf, bij een ander in gebruik, wederrechtelijk binnendringt of, wederrechtelijk aldaar vertoevende, zich niet op de vordering van of vanwege de rechthebbende aanstonds verwijdert, wordt gestraft met gevangenisstraf van ten hoogste een jaar of geldboete van de derde categorie.
Nee hoor ik loop naar binnen en roep gewoon de deur staat open.
Dat je bij me binnen staat is geen bewijs dat de deur open stond. Verder wordt men tegenwoordig aangemoedigd overtreders en andere criminelen te fotograferen als bewijs. Hangen zul je ;)

Als je al langs de honden komt.
Niet leegroven. Wel even binnenstappen en roepen of er iemand is. Vervolgens even zeggen dat zijn deur open staat en iedereen zomaar naar binnen kan.
Negeert hij het probleem dan zou ik best eens aan een vriend vragen om ook eens hetzelfde te doen in de hoop dat hij dan wel zijn deur dicht maakt.

Bij Apple en de ontwikkelaar hetzelfde geval. De ontwikkelaar maakt de app en zet hem in de app store, maar ik vermoed dat hij hem niet gebruikt heeft om zomaar andere dingen te installeren bij mensen.
wat een DOM voorbeeld, nu iets anders...

bedrijf x staat er om bekend (en dan is er ECHT geen verschil tussen MS Sony apple of eender welke toko) niet zo schortig te zijn met veiligheid, want wat maakt het ook uit... toch? nu hebben ze een of andere bio-wapen gewoon min of meer op straat liggen,
om dit aan de kaak te stellen neemt de onderzoeker de proef op de som en om het te beweeizen neemt hij een monster van het goedje, en maakt het vervolgens wereldkundig, zonder exact uit te leggen hoe hij eraan gekomen is zodat kwaadwillenden hem niet kunnen nadoen...

vervolgens wordt hij betiteld als crimineel, en waarvoor, omdat hij duizenden burgers probeerd te beschermen tegen mogelijk kwaadwillenden?...
tsja, misschien was een melding wel in de archieven gegaan en was er niets mee gebeurd, zo moet apple er wel wat mee doen, plus het laat zien dat de appstore helemaal niet zo veilig is als men vaak denkt.

[Reactie gewijzigd door Fly-guy op 8 november 2011 14:35]

Nou, dan moet je het artikel lezen:
Hoe hij de kwaadaardige code geheim kon houden, is onbekend. Miller geeft vooralsnog geen details vrij, zodat Apple het gat in de applicatiewinkel kan dichten.
En wie zecht dat hij het niet gemeld heeft aan Apple? Er is imho meer dan enkel een meldingsplicht aan de developer. Ook de klant heeft het recht om te weten dat een systeem dat als veilig bekend staat ook zwakheden heeft.
Dit is hoe dan ook slechte reputatie voor Apple, Apple had liever gehad dat het lek nooit aan het licht was gekomen of dat zij zelf de kans hadden gehad om het te repareren.
Als hij nu gewoon echt een punt wil maken tegenover Apple, dan moet hij zijn code gewoon meteen vrijgeven. Dan zal Apple wel schrikken.
Apple is nu eenmaal onfeilbaar. ;)

Ik vind het in ieder geval ook een zware reactie. Als hij niets had gemeld had hij zijn kennis ook kunnen verkopen aan echte malware makers. Apple zou hem juist dankbaar moeten zijn, maar dan zouden ze moeten toegeven dat er toch wel security-issues zijn met hun AppStore en dat zou slechte reclame zijn.
Inderdaad.
De volgende keer dat iemand een beveiligingslek vindt in de apple store (of misschien wel andere apple producten), zal dit simpelweg niet meer gemeld worden.

Apple creeert hier een zeer slecht klimaat voor (bonafide) beveiligingsonderzoekers
Het staat echter wel in de voorwaarden. Maar deze man wou even testen of zo'n lek natuurlijk door de keuring van Apple komt.

Dit is inderdaad heel slecht van Apple om zijn account in te trekken. Mompelt iets over macht gebruiken waar het kan... typisch apple. De reden waarom ik dus ook bij iOS weg blijf. En zolang OSX is zoals het is blijf ik.. maar als ze OSX meer closed maken en ook van dit soort fratsen uithalen ben ik weg.
Macht gebruiken waar het moet. Hackers mogen de beveiliging van iOS niet omzeilen en geen privťgegevens van gebruikers verzamelen zonder hun toestemming - simple as.

Jij mag ook geen 400 rijden op de snelweg om aan te tonen dat flitsers soms niet werken op die snelheid, ook al breng je aan het licht dat de flitsers gelimiteerd zijn.
Apple beticht hem echter van misleiding en heeft zijn ontwikkelaarslicentie ingetrokken; Miller mag geen apps meer maken voor Apples mobiele platform, schrijft het bedrijf in een brief.
Ze mogen blij zijn dat er Łberhaupt nog mensen zijn die hen helpen met het opsporen van beveiligingslekken als ze die mensen vervolgens zo behandelen.
[...]

Ze mogen blij zijn dat er Łberhaupt nog mensen zijn die hen helpen met het opsporen van beveiligingslekken als ze die mensen vervolgens zo behandelen.
Hij had ook niks hoeven zeggen en gewoon misbruik kunnen maken van deze hack..
En als dank je wordt je geblocked en zo behandeld.. Zo ga je dus om met je gebruikers/devvers :X
Miller laat in een video zien dat hij met InstaStock, een programma voor het bekijken van beurskoersen, onder meer adresgegevens van contactpersonen kan downloaden.
Voor de geÔntresseerden: http://www.youtube.com/watch?v=ynTtuwQYNmk

[Reactie gewijzigd door Hipska op 8 november 2011 14:18]

Mjah, wie zijn billen brandt... Het is niet het probleem dat hij onderzoek heeft gedaan naar deze materie. Het probleem is dat hij een app heeft gemaakt en die heeft gesubmit, daarbij regelrecht tegen de regels van zijn developer license in. Hierin staat namelijk dat apps geen executable en niet gescreende code mogen downloaden. Dat is de reden dat zijn developer license id ingetrokken, niet het feit dat hij onderzoek doet naar zo'n veiligheidslek.

Stel dat BMW een onveilig type slot op de deur van z'n auto's gebruikt en je weet dat. Om te bewijzen dat dat zo is steel je een auto, als 'proof of concept'. En dan raar opkijken dat de politie voor je deur staat om je te pakken voor het stelen van een auto. Een briefje naar BMW had ook gewoon gewerkt...

[Reactie gewijzigd door Qlone op 8 november 2011 14:19]

Maar zonder dat die die app had gesubmit hadden we toch nooit kunnen weten dat er een gat zit in de beveiliging? Of zou hij hypothetisch hebben moeten weten dat apple zijn geheime controle systeem zijn hypothetische app zou toelaten?!
Hij heeft bewust iets gebouwd omdat hij vermoedde dat er een lek zat. Tenminste, het lijkt me niet logisch dat hij er ook bij toeval achter kwam. Hij had dat dus gewoon kunnen melden.
Nee, gewoon melden werkt niet. Probeer jij maar eens naar een kleiner bedrijf te bellen of mailen om iets te melden. Zelfs dan zal je melding in alle waarschijnlijkheid nooit doorkomen. Hij doet het op deze manier, omdat het dan doordringt. Hij heeft ook niet zijn app misbruikt, alleen maar in de app store geÔnstalleerd.
en dan krijg je 1000 meldingen van mensen die iets vermoeden maar dit niet kunnen staven... zolang hij de app niet heeft misbruikt heeft hij wettelijkgezien ook niets misdaan...

en dat voorbeeld van de bmw, als jij een bmw opend zonder schade toe te richten (lees breekschade, etc). en dit op een filmpje zet (zonder duidelijk te laten zien hoe het exact gaat), denk ik niet dat het OM je gaat vervolgen ook niet als die bmw toevallig van de directeur van bmw zelf was... zolang hij hem feitelijk niet wegneemt of steelt....
Neen, de code die hij geschreven heeft kan iedereen schrijven, het belang van zijn onderzoek is net dat dit soort applicaties ook door de selectie van Apple kan komen, daar draait het hele verhaal net om en dat kan je alleen maar door de app ook effectief te submitten.
Ten eerste heeft hij die auto netjes teruggebracht, ten tweede heeft ie BMW geinformeerd, en ten derde kan je een auto kopen als "testobject" om op in te breken. Er bestaat geen "testomgeving" van Apple's App Store, waardoor dit de enige mogelijkheid is om zoiets te bewijzen.
Je hoeft dit niet op deze manier te bewijzen. Als je zelf een app maakt, is de provisioning die bij je developer license hoort je testomgeving. Je app draait dan op je testtelefoon gewoon met dezelfde restricties als een app-store versie op een normale telefoon. Op die manier kan je dus bewijzen dat het werkt. Die proof of concept kan je doorgeven aan Apple, die vervolgens met alle plezier de bug zullen fixen.
Het klopt inderdaad dat er een testomgeving is voor het ontwikkelen van de Apps, maar het gaat hier niet om dat de App iets specifiek KAN, maar wel dat het door het screeningsproces is geraakt. En voor zover ik weet is er geen 'testomgeving' van het screening process.
Nee, hij toont aan dat het systeem dat de apps in de store toelaat de malware heeft doorgelaten, en er dus een lek is in het toelatingssysteem. Lijkt me niet dat je dat zelf kunt testen, tenzij de testomgeving ook dat toelatingssysteem heeft, en dat lijkt me sterk.

Het is verder wel weer typisch Apple, kill the messenger. Valt nog mee dat ze niet een legertje advocaten op hem afgestuurd hebben, maar wat niet is, kan nog komen.
Het gaat hier over de beveiliging van de appstore, en de limitaties die apple stelt aan applicaties in deze appstore. Als je een applicatie installeert op een testtelefoon dan ga je niet via de appstore, en kan je dat dus ook niet testen. ;)
Het lijkt me niet dat hij de auto steelt, hij laat alleen zien dat hij het slot openkrijgt en daarna meldt hij het netjes aan BMW.
Een briefje naar BMW had ook gewoon gewerkt...
Als je aan kan tonen dat het kan wel, maar als je het niet aan mag tonen hoe toon je dan iets aan?

Zonder een app in de market te zetten kon die het niet aantonen dat het door de controlle heen is gekomen he :P

Daarbij is een auto stelen wal wat anders als een App in een market zetten hoor... :)

[Reactie gewijzigd door watercoolertje op 8 november 2011 14:27]

Je vergelijking klopt niet.
Het gaat er hier om dat Apple zelf haar apps screent en dat deze malware dus door die screening is gekomen. Dit kun je alleen aantonen door het ook echt te doen, door dus echt het slot van BMW te kraken. Pas toen de onderzoeker het meldde kwam Apple erachter en hebben ze zijn licentie ingetrokken.
Wat had deze man dan moeten doen? Tegen Apple zeggen dat deze code misschien wel eens door de scan had kunnen komen? "Nee meneertje, dat kan echt niet want onze store is veilig. Gaat u maar weer rustig slapen." krijg je dan waarschijnlijk als antwoord. En dan komt een crimineel ook achter deze methode en gaat hier ťcht mee aan het werk.

Apple zou deze man moeten belonen, maar omdat hij negatieve publiciteit veroorzaakt ("kijk, de AppStore is toch niet zo veilig als ze zeggen!") zorgen ze gewoon dat hij dit nooit meer kan doen. Apple verdient een groot beveiligingsschandaal waarbij criminelen aan de haal gaan met dit soort exploits IMO, dat zal ze leren om behulpzame mensen te straffen.
Je moet de vergelijking wel even zuiver houden dan. Deze "dief" heeft bij een BMW-dealer een auto opengebroken (laten we ff zeggen zonder schade, want deze developer heeft geen persoonsgegevens van gebruikers gejat o.i.d.*) en vervolgens bij de BMW-dealer gemeld dat het zo kinderlijk eenvoudig is ("zie maar, zo doe je dat"). De dealer heeft nu, in plaats van de man te danken voor deze flaw in het BMW-design, de politie gebeld omdat die man ingebroken heeft in hun auto.

Ik vind het echt een domme actie van Apple. Ik had het ook niet verwacht van zo'n technologiebedrijf. Juist van bedrijven die niet dagelijks met technologie bezig zijn verwacht je zoiets, maar niet van Apple dat nota bene een naam hoog had te houden met hun App-market.

* En als hij ze heeft bemachtigd, lijkt me dat hij ze niet doorverkoopt ofzo. Hij toont aan dat de boel lek is, hoe wil hij dat anders aantonen dan met een proof of concept, want hij wist dat vooraf nog niet of dit zou werken.

[Reactie gewijzigd door Grrrrrene op 8 november 2011 14:31]

Waar lezen jullie dat hij EERST contact met Apple opgenomen heeft?

In het Reuters bericht lees ik dat niet. Ook in het bericht op Macrumors lees ik dat niet.

Zoals het er nu staat heeft hij deze app gebouwd, ingediend, openbaar gemaakt en vervolgens wil Apple niet reageren en heeft in de tussentijd zijn licentie ingetrokken.
Persoonlijk vind ik dat NIET netjes van deze man, maar wel zeer terecht van Apple.

Hij had het eerst aan Apple moeten melden en evt. een proof-of-concept bij leveren en als er dan taal nog teken uitblijft had hij het wereldkundig kunnen maken.
Miller told CNET he alerted Apple to the exploit three weeks ago, but could not comment on whether the vulnerability is patched in iOS 5.0.1
Op http://news.cnet.com/8301...igned-code/?tag=mncol;txt
Ook hier lees ik niet dat hij Apple EERST heeft ingelicht.

Er staat in dat verhaal alleen maar dat hij Apple 3 weken geleden ingelicht heeft, maar waarschijnlijk dus nadat hij de software in de App store gezet had.
Uiteraard heeft hij dat pas gedaan nadat de app in de store stond. Eerder kon de man namelijk niet weten dat zijn app door de screening zou komen...
Ook hier lees ik niet dat hij Apple EERST heeft ingelicht.

Er staat in dat verhaal alleen maar dat hij Apple 3 weken geleden ingelicht heeft, maar waarschijnlijk dus nadat hij de software in de App store gezet had.
Tuurlijk niet, anders kon hij het toch niet testen duh 8)7
Ja daaag... 8)7. Je moet het eerst indienen om te bewijzen dat het door de Apple keuring heen komt. Ja dan is het openbaar, en meld je het bij apple.

Als je het andersom doet zeggen ze waarschijnlijk, wij hadden dat wel gevonden :X.

Hulde voor deze man. _/-\o_ _/-\o_
Veel hangt af van de juiste procedure die hij heeft gevolgd. Als hij onmiddelijk na het bericht dat de App beschikbaar werd Apple heeft ingelicht en de App zelf er terug af heeft gehaald (als dat mogelijk is) dan is het iets heel anders dan wat jij beschrijft.

Dan zou het eerder zijn dat ik zou filmen hoe ik mijn eigen BMW steel en dat als proof of concept zou opsturen naar BMW.
Stel dat BMW een onveilig type slot op de deur van z'n auto's gebruikt en je weet dat. Om te bewijzen dat dat zo is steel je een auto, als 'proof of concept'. En dan raar opkijken dat de politie voor je deur staat om je te pakken voor het stelen van een auto. Een briefje naar BMW had ook gewoon gewerkt...
Briljante vergelijking weer. :Z
Een betere vergelijking zou zijn geweest dat je enkel probeert of je het onveilige slot daadwerkelijk makkelijk kan openen. De persoon in kwestie heeft niets gestolen.
Elk systeem heeft zo z'n bugs.

Het is alleen wel jammer dat de gebruikers de dupe worden door al die bugs. Op deze manier zul iOs ook minder vertrouwen geven kwa veiligheid aan de gebruikers.

Ook jammer dat Apple zijn licentie intrekt. Je moet zulke onderzoekers dankbaar zijn !
Apple beticht hem echter van misleiding en heeft zijn ontwikkelaarslicentie ingetrokken;
Jammer dat bedrijven vaak op deze manier reageren, dit werkt in de hand dat mensen die oprecht zijn hun hack eerder zullen doorverkopen in plaats van melden.
Hahaha, licentie ingetrokken. Goed bezig Apple. Heb je iemand die je systeem probeert te verbeteren en dan doe je dit? Kom op zeg, ik hoop dat hij z'n licentie gewoon terug krijgt. Zo omgaan met mensen die goede bedoelingen hebben werkt toch gewoon niet.

Verder goed dat de persoon in kwestie niet de code heeft vrijgegeven. Benadrukt alleen weer zijn goede bedoelingen. Ohja, met een beetje geluk krijgt 'ie ook nog een aanklacht met imagoschade aan z'n broek wegens het online zetten van het lek? Niet het exacte lek, maar wel het bestaan ervan...
En hij heeft die licentie niet afgenomen enkel vanwege zijn onderzoek.
M.a.w. hij gebruikt die 1 keer en zegt het dan zelf op?
Je gaat er toch rekening mee houden dat zoiets kan gebeuren. Wat als het systeem van Apple de malware wťl had ontdekt en dan zijn licentie had ingetrokken? Zat ie ook met een ingetrokken licentie, maar met een minder "sensatie onderzoek"; :)
Goed dat die het aangeeft @ apple, en geen kwade bedoelingen er mee heeft.
Jammer dat apple dan zijn licentie gaat lopen intrekken..
Is een beetjet zoals men hier in Nederland wel eens met Brenno de Winter omgaat. Ik vraag me af waarom bedrijven niet direct met zo iemand gaan praten om alles te weten te komen over een dergelijke hack.
Echt weer iets voor Apple.. Deze meneer Miller ontdekt een beveiligingslek, meldt dit aan Apple en houdt dit verder geheim. Als dank hiervoor wordt zijn ontwikkelaarslicentie ingetrokken. Als ik Miller was zou ik het lekker direct publiceren. Arrogante en ondankbare kwallen.

Heb verder overigens niets tegen Apple hoor, in ieder geval niet qua producten. Zit echter een verschil tussen de producten zelf en bedrijfsvoering.

[Reactie gewijzigd door Recrush op 8 november 2011 14:20]

Sorry hoor, Apple heeft 3 weken de tijd gehad blijkbaar... dat is wel het minimum wat ze nodig hebben (denk ik) om goed uit te zoeken wat er precies aan de hand is.

Op dit item kan niet meer gereageerd worden.