> > > > Große Sicherheitslücke in iOS 5 - Entdecker aus dem Developer-Programm entfernt

Große Sicherheitslücke in iOS 5 - Entdecker aus dem Developer-Programm entfernt

DruckenE-Mail
Erstellt am: von

iOS5Jede Software enthält Fehler und offenbart so auch Sicherheitslücken. Besonders problematisch ist dies, wenn es sich um ein Betriebssysteme oder Software handelt, die Zugriff auf das komplette System erlauben. Nun hat der App-Entwickler Charlie Miller eine Sicherheitslücke entdeckt und diese mit einer App auch zugänglich gemacht. Schlussendlich hat dies dazu geführt, dass Apple ihn aus dem Developer-Programm entfernt hat und auch die App natürlich nicht mehr im App Store zu finden ist. Die Sicherheitslücke entsteht durch die Möglichkeit im Mobile Safari unsignierten Code auszuführen. Apple erlaubt im Browser ab der iOS-Version 4.3 das Ausführen von Javascript-Code aus dem Web auf einer tieferen Speicherebene, als dies zuvor der Fall war. Zum einen erlaubt dies ein schnelleres Ausführen des Codes, offenbart dem Code aber auch in der tieferen Systemebene mehr Möglichkeit nicht authorisierte Prozesse auszuführen.

Die Nitro JavaScript-Engine, die wegen der tieferen Implementation der sogenannten JIT-Compilations auch für eine bessere Performance sorgt, sollte ursprünglich nur im Browser ausführbar sein. Offenbar aber ist es jeder App möglich diesen schadhaften Code auszuführen. Charlie Miller hat eine solche App erstellt und in den App Store gestellt. Nach der Präsentation der Sicherheitslücke wurde die App entfernt und der Developer-Account von Miller gesperrt.

In einem Video hat Charlie Miller die Sicherheitslücke demonstriert:

Der Fall offenbart gleich meherere Probleme. Zum einen ist umfangreiche Software niemals fehlerfrei und Apple ist in diesem Fall sicher auch darauf angewiesen, dass externe Entwickler und Hacker diese entdecken. Dann jedoch sollten sich diese an eine gewisse Hacker-Ethik halten. Das Stichwort ist "Responsible Disclosure". Dabei wird die Sicherheitslücke nicht direkt offenbart, sondern den betroffenen Programmierern der Software etwas Zeit eingeräumt, den oder die Fehler zu beseitigen. Dies tut Charlie Miller auch, denn er will die Details der Sicherheitslücke erst in der kommenden Woche präsentieren. Bis dahin hat Apple nun Zeit iOS zu aktualisieren.

Auf der anderen Seite besteht Apple auf ein "Review" einer jeden App, die in den App Store möchte. Die von Charlie Miller programmierte App, die nun die Sicherheitslücke offenbart hat, hätte aber niemals in den App Store gelangen dürften. Apple hatte also die Möglichkeit, bevor dies an die Öffentlichkeit gelangte, entsprechend zu reagieren.

Die App aus dem App Store zu entfernen war sicher richtig, dem Entwickler aber auch gleich den Developer-Account zu sperren, kann man zumindest fragwürdig finden.

Weiterführende Links:

Social Links

Ihre Bewertung

Ø Bewertungen: 0

Tags

es liegen noch keine Tags vor.

Kommentare (12)

#3
customavatars/avatar66448_1.gif
Registriert seit: 19.06.2007
C:/NRW/Dortmund
Flottillenadmiral
Beiträge: 4110
und das beste. apple schmeißt ihn ausm developer kreis raus. danke dafür!
#4
customavatars/avatar108709_1.gif
Registriert seit: 17.02.2009
Sachsen, Brandis b. Leipzig
Admiral
Beiträge: 16809
"gewissen" ---> "gewisse" :wink:

ansonsten: klasse Apple - einer zeigt euch nen Fehler und ihr tretet ihm dafür in den Hintern... gut gemacht.
#5
customavatars/avatar125171_1.gif
Registriert seit: 14.12.2009
BaWü
Stabsgefreiter
Beiträge: 382
Ich verstehe nicht, wie man die besten Leute rauswerfen kann.
Die sollten ihm eine Festanstellung geben und gut bezahlen, um solche Lücken zu entdecken.
Stattdessen werfen sie ihn aus dem Developer-Programm. Gute Entscheidung, um auch weiterhein Lücken zu haben ;)
#6
customavatars/avatar121653_1.gif
Registriert seit: 19.10.2009
Mönchengladbach
Flottillenadmiral
Beiträge: 4733
@ Flaggschiff und pointX Die werden dann zu Leuten wie GeoHot.. dann wird es Problematisch.

Geschieht Apple recht wenn es bald zu großen Hacks auf iOS-Geräten kommt.
#7
customavatars/avatar66448_1.gif
Registriert seit: 19.06.2007
C:/NRW/Dortmund
Flottillenadmiral
Beiträge: 4110
tja, haben eben selber schuld. nun im gegenzug wird er mit dieser app wohl gegen geltendes apple-recht verstoßen haben.
#8
customavatars/avatar108915_1.gif
Registriert seit: 20.02.2009
Bremen
Flottillenadmiral
Beiträge: 4516
Betriebssysteme -> Betriebssystem

Präsentation des Sicherheitslücke -> Präsentation der Sicherheitslücke


Da er direkt ne app dazu erstellt hat, finde ich es richtig ihn den Ar***tritt zu verpassen, egal ob die App gar nciht erst hätte erscheinen dürfen. er hat sie zugänglich gemacht, oder wenn se von vorneherein gesperrt worden wäre, wollte er es zumindest.
#9
customavatars/avatar20048_1.gif
Registriert seit: 27.02.2005

Kapitänleutnant
Beiträge: 1548
statt es apple zu melden schreibt er ein programm...
da stecken schon kriminelle energien dahint. da hat apple die richtige entscheidung getroffen.
#10
customavatars/avatar3377_1.gif
Registriert seit: 15.11.2002
www.twitter.com/aschilling
[printed]-Redakteur
Tweety
Beiträge: 29104
Er hat es ja Apple gemeldet. Angeblich schon am 14. Oktober.
#11
Registriert seit: 16.07.2005
Leipzig
Oberstabsgefreiter
Beiträge: 486
Bei Google hätte er noch Geld fürs Melden der Lücke bekommen.
#12
customavatars/avatar163003_1.gif
Registriert seit: 09.10.2011

Oberbootsmann
Beiträge: 807
Tja Apple halt. Denen gehört mal richtig in den Arsch getreten. Mein iPod spackt seit gestern auch nur rum. iOS 5 Installen und wieder jailbreaken. Warum sind die Apps nur so gut -.-

Hoffentlich zieht Android schnell nach in sachen Appqualität.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Samsung Galaxy A3 (2016) & Galaxy A5 (2016) im Test

Logo von IMAGES/STORIES/REVIEW_TEASER/TEASER_SAMSUNG_A2016

Die Oberklasse sorgt für Schlagzeilen, die Mittelklasse für Marktanteile. Deshalb war es vor knapp einem Jahr nur logisch, dass Samsung mit der neuen A-Reihe einen Gegenpol zur immer stärker werdenden Konkurrenz im Bereich zwischen 200 und 400 Euro platzieren wollte. So erfolgreich die beiden... [mehr]

Huawei P9 lite im Test

Logo von IMAGES/STORIES/REVIEW_TEASER/HUAWEI_P9_LITE_TEASER_KLEIN

Größer, schneller, schicker: Mit dem P9 lite bringt Huawei erwartungsgemäß den Mittelklasseableger seines Aushängeschilds in den Handel. Dabei verlässt man sich nicht auf leichte Korrekturen, was den Vorgänger nicht nur alt aussehen lässt, sondern das deutlich teurere Schwestermodell auch... [mehr]

Kommentar: Wie Microsoft mich dazu brachte, ein Lumia gegen ein iPhone zu...

Logo von IMAGES/STORIES/LOGOS-2015/MICROSOFT2012

Microsofts Verkäufe im Smartphonebereich sind im letzten Quartal regelrecht eingebrochen. Lediglich 2,3 Millionen Geräte konnte die mobile Sparte des Konzerns absetzen. Die hochpreisigen Surface-Tablets verkaufen sich mittlerweile besser als die Lumia-Smartphones. Dieses Jahr war die erste... [mehr]

HTC 10 im Test

Logo von IMAGES/STORIES/REVIEW_TEASER/HTC_10_TEASER_KLEIN

Vom Innovator zum Sorgenkind: HTC gilt derzeit als eines der größten Sorgenkinder des Smartphone-Marktes. Nach dem guten, aber nicht überragenden One M8 und One M9 soll der schlicht 10 genannte Nachfolger nun endlich die Trendwende einläuten. Zu wünschen wäre es dem Unternehmen, ganz so... [mehr]

Huawei G8 (GX8) im Test

Logo von IMAGES/STORIES/REVIEW_TEASER/HUAWEI_G8_9_TEASER_KLEIN

Auf der IFA stand das Mate S im Vordergrund, doch mit dem G8 - das inzwischen auch als GX8 angeboten wird - hatte Huawei auch ein neues Mittelklassemodell mit dabei. Allmählich ist das Smartphone bei immer mehr Händlern verfügbar, die den Preis schnell unter die Empfehlung von knapp 400 Euro... [mehr]

Huawei P9 im Test (2/2) - Das leistet die Leica-Kamera

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/2016/HUAWEI_P9/HUAWEI_P9_2_TEASER_KLEIN

Wie wichtig die Smartphone-Fotografie inzwischen ist, zeigt derzeit wohl nichts so deutlich wie die Kooperation zwischen Leica und Huawei. Auf der einen Seite ein exzellenter Ruf in Sachen Kameras, auf der anderen Expertise im Bau von Handys. Im zweiten Teil des Tests muss das P9 zeigen, dass es... [mehr]