> > > > Große Sicherheitslücke in iOS 5 - Entdecker aus dem Developer-Programm entfernt

Große Sicherheitslücke in iOS 5 - Entdecker aus dem Developer-Programm entfernt

Veröffentlicht am: von

iOS5Jede Software enthält Fehler und offenbart so auch Sicherheitslücken. Besonders problematisch ist dies, wenn es sich um ein Betriebssysteme oder Software handelt, die Zugriff auf das komplette System erlauben. Nun hat der App-Entwickler Charlie Miller eine Sicherheitslücke entdeckt und diese mit einer App auch zugänglich gemacht. Schlussendlich hat dies dazu geführt, dass Apple ihn aus dem Developer-Programm entfernt hat und auch die App natürlich nicht mehr im App Store zu finden ist. Die Sicherheitslücke entsteht durch die Möglichkeit im Mobile Safari unsignierten Code auszuführen. Apple erlaubt im Browser ab der iOS-Version 4.3 das Ausführen von Javascript-Code aus dem Web auf einer tieferen Speicherebene, als dies zuvor der Fall war. Zum einen erlaubt dies ein schnelleres Ausführen des Codes, offenbart dem Code aber auch in der tieferen Systemebene mehr Möglichkeit nicht authorisierte Prozesse auszuführen.

Die Nitro JavaScript-Engine, die wegen der tieferen Implementation der sogenannten JIT-Compilations auch für eine bessere Performance sorgt, sollte ursprünglich nur im Browser ausführbar sein. Offenbar aber ist es jeder App möglich diesen schadhaften Code auszuführen. Charlie Miller hat eine solche App erstellt und in den App Store gestellt. Nach der Präsentation der Sicherheitslücke wurde die App entfernt und der Developer-Account von Miller gesperrt.

In einem Video hat Charlie Miller die Sicherheitslücke demonstriert:

Der Fall offenbart gleich meherere Probleme. Zum einen ist umfangreiche Software niemals fehlerfrei und Apple ist in diesem Fall sicher auch darauf angewiesen, dass externe Entwickler und Hacker diese entdecken. Dann jedoch sollten sich diese an eine gewisse Hacker-Ethik halten. Das Stichwort ist "Responsible Disclosure". Dabei wird die Sicherheitslücke nicht direkt offenbart, sondern den betroffenen Programmierern der Software etwas Zeit eingeräumt, den oder die Fehler zu beseitigen. Dies tut Charlie Miller auch, denn er will die Details der Sicherheitslücke erst in der kommenden Woche präsentieren. Bis dahin hat Apple nun Zeit iOS zu aktualisieren.

Auf der anderen Seite besteht Apple auf ein "Review" einer jeden App, die in den App Store möchte. Die von Charlie Miller programmierte App, die nun die Sicherheitslücke offenbart hat, hätte aber niemals in den App Store gelangen dürften. Apple hatte also die Möglichkeit, bevor dies an die Öffentlichkeit gelangte, entsprechend zu reagieren.

Die App aus dem App Store zu entfernen war sicher richtig, dem Entwickler aber auch gleich den Developer-Account zu sperren, kann man zumindest fragwürdig finden.

Weiterführende Links:

Social Links

Ihre Bewertung

Ø Bewertungen: 0

Tags

es liegen noch keine Tags vor.

Kommentare (12)

#3
customavatars/avatar66448_1.gif
Registriert seit: 19.06.2007
C:/NRW/Dortmund
Flottillenadmiral
Beiträge: 4119
und das beste. apple schmeißt ihn ausm developer kreis raus. danke dafür!
#4
customavatars/avatar108709_1.gif
Registriert seit: 17.02.2009
Sachsen, Naunhof b. Leipzig
Admiral
Beiträge: 18222
"gewissen" ---> "gewisse" :wink:

ansonsten: klasse Apple - einer zeigt euch nen Fehler und ihr tretet ihm dafür in den Hintern... gut gemacht.
#5
customavatars/avatar125171_1.gif
Registriert seit: 14.12.2009
BaWü
Stabsgefreiter
Beiträge: 382
Ich verstehe nicht, wie man die besten Leute rauswerfen kann.
Die sollten ihm eine Festanstellung geben und gut bezahlen, um solche Lücken zu entdecken.
Stattdessen werfen sie ihn aus dem Developer-Programm. Gute Entscheidung, um auch weiterhein Lücken zu haben ;)
#6
customavatars/avatar121653_1.gif
Registriert seit: 19.10.2009
127.0.0.1
Lesertest-Fluraufsicht
Beiträge: 6548
@ Flaggschiff und pointX Die werden dann zu Leuten wie GeoHot.. dann wird es Problematisch.

Geschieht Apple recht wenn es bald zu großen Hacks auf iOS-Geräten kommt.
#7
customavatars/avatar66448_1.gif
Registriert seit: 19.06.2007
C:/NRW/Dortmund
Flottillenadmiral
Beiträge: 4119
tja, haben eben selber schuld. nun im gegenzug wird er mit dieser app wohl gegen geltendes apple-recht verstoßen haben.
#8
customavatars/avatar108915_1.gif
Registriert seit: 20.02.2009
Bremen
Flottillenadmiral
Beiträge: 4909
Betriebssysteme -> Betriebssystem

Präsentation des Sicherheitslücke -> Präsentation der Sicherheitslücke


Da er direkt ne app dazu erstellt hat, finde ich es richtig ihn den Ar***tritt zu verpassen, egal ob die App gar nciht erst hätte erscheinen dürfen. er hat sie zugänglich gemacht, oder wenn se von vorneherein gesperrt worden wäre, wollte er es zumindest.
#9
customavatars/avatar20048_1.gif
Registriert seit: 27.02.2005

Kapitänleutnant
Beiträge: 1547
statt es apple zu melden schreibt er ein programm...
da stecken schon kriminelle energien dahint. da hat apple die richtige entscheidung getroffen.
#10
customavatars/avatar3377_1.gif
Registriert seit: 15.11.2002
www.twitter.com/aschilling
[printed]-Redakteur
Tweety
Beiträge: 31430
Er hat es ja Apple gemeldet. Angeblich schon am 14. Oktober.
#11
Registriert seit: 16.07.2005
Leipzig
Oberstabsgefreiter
Beiträge: 486
Bei Google hätte er noch Geld fürs Melden der Lücke bekommen.
#12
Registriert seit: 01.01.1970


Beiträge:
Tja Apple halt. Denen gehört mal richtig in den Arsch getreten. Mein iPod spackt seit gestern auch nur rum. iOS 5 Installen und wieder jailbreaken. Warum sind die Apps nur so gut -.-

Hoffentlich zieht Android schnell nach in sachen Appqualität.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

  • Apple verkauft kein iPhone X, SE und 6S mehr und verzichtet auf Adapter

    Logo von IMAGES/STORIES/2017/APPLE_IPHONE_XS

    Mit der Vorstellung des iPhone XS, des iPhone XS Max und vor allem des iPhone XR hat Apple nicht nur seine nächste Smartphone-Generation eingeläutet, sondern auch sein bestehendes Produktportfolio umgekrempelt – teilweise sehr junge und noch immer beliebte Modelle sind komplett von der... [mehr]

  • 90 Hz und 8 GB RAM: ASUS will Gamer mit dem ROG Phone ansprechen (Update)

    Logo von IMAGES/STORIES/2017/ASUS_ROG_PHONE

    Mit dem Start von PUBG Mobile ist das Spielen auf dem Smartphone wieder in den Mittelpunkt des Interesses gerückt. Zwar gab es in den vergangenen Jahren mehrfach den Versuch, Gaming und Handy zu kombinieren, wirklich ausgereift waren die Ansätze nicht. Das änderte sich teilweise mit... [mehr]

  • Komplett randloses Smartphone Lenovo Z5 wird am 5. Juni vorgestellt

    Logo von IMAGES/STORIES/2017/LENOVO

    Laut Informationen von The Verge das neue Lenovo Z5 am 5. Juni offiziell vorstellen. Das Smartphone soll sich vor allem durch sein randloses Display auszeichnen. Laut durchgesickerten Informationen soll das Display nämlich 95 % der Front einnehmen, womit in diesem Fall tatsächlich von einem... [mehr]

  • Apple stellt das iPhone XS und iPhone XS Max vor

    Logo von IMAGES/STORIES/2017/APPLE_IPHONE_X

    Über zwei Milliarden iOS-Geräte hat Apple in den letzten Jahren ausgeliefert. Am Abend präsentierte der Konzern während seiner Keynote am Firmencampus in Cupertino nicht nur die neue Apple Watch Series 4, sondern auch seine nächste iPhone-Generation, welche noch im Laufe dieses... [mehr]

  • Tester des Galaxy Fold haben mit ausfallenden Displays zu kämpfen (Update)

    Logo von IMAGES/STORIES/2017/SAMSUNG-GALAXYFOLD

    Seit einigen Tagen haben bekannte YouTube-Größen und Instagram-Influencer die Möglichkeit, sich das Galaxy Fold von Samsung anzuschauen. Ab dem 26. April kann das erste verfügbare Smartphone mit Falt-Display vorbestellt werden. Die Auslieferung und der freie Verkauf sollen dann bereits wenige... [mehr]

  • Huawei räumt Benchmark-Manipulation bei diversen Smartphones ein

    Logo von IMAGES/STORIES/2017/HUAWEI_MATE_10_PRO

    Spätestens seit Mitte 2013 ist bekannt, dass auch Smartphone-Hersteller Benchmark-Resultate verfälschen. Die ertappten Unternehmen gelobten in schöner Regelmäßigkeit Besserung, eine abschreckende Wirkung hatte das aber nicht, wie sich zeigt. Denn eine genauere Inaugenscheinnahme zeigt,... [mehr]