[Xenia]

Sicherheitsexperte und Entwickler Charlie Miller hat eine Sicherheitslücke im Codesigning des iOS entdeckt, die es ermöglicht, unsignierte Codes in Apples mobiles Betriebssystem einzuschleusen.

Eigentlich sollte das iOS nur Apps starten und ausführen, die von Apple geprüft und mit einem eindeutigen Code signiert wurden.
Charlie Miller ist es jedoch gelungen, mit einer Börsen-App, die beim Start eine Tür für das unsignierte Nachladen einer Payload öffnet, diese Signierung zu umgehen. Nähere Details will der Entwickler im Rahmen der SysCan Konferenz in der kommenden Woche in Taiwan bekannt geben.

Das Codesigning war bislang der entscheidende Sicherheitsfaktor, der iOS sicherer machte als beispielsweise Googles konkurrierendes Android.
Forbes zitiert Miller mit den Worten "Dieser Fehler reduziert die Sicherheit von iOS auf das Niveau von Android".

Für Miller selbst, der laut eigenem Bekunden schon viele Lücken an Apple weitergegeben hat und erst vor Kurzem einer der Sicherheitsexperten war, die von Apple explizit um die Überprüfung von OS X Lion gebeten wurden, bedeutete die Veröffentlichung seiner App im App Store den Fall 'from Hero to Zero'.
Apple sperrte seinen Entwickler-Account, Miller äußerte sich verärgert und tief enttäuscht über diese Reaktion.

via

[danKK]

@xenia
wollte dir die News zukommen lassen,wahr aber wohl zu langsam ;-)

mfg
DanKK

[iDjay]

danke für die News
ich hoffe mal, dass das schnell behoben wird...

[*Leopard*]

Wenn ich in ein Geschäft gehe und eine Tafel Schokolade klaue und denen verklickere wie einfach es ist bei denen etwas zu klauen, dann wird man mich auch nicht gerade begeistert anschauen. Apples Reaktion ist normal und nachvollziehbar.

Denn gerade er, der solche Apps in den Store stellt, ist auch ein Sicherheitsrisiko.

Ansonsten gut, dass die Lücke gefunden wurde. Dann kann sie ja bald geschlossen werden.

Und er ist auch nicht der erste, der unsignierte Apps auf dem iPhone ohne Jailbreak zum laufen bekommt. Das haben schon welche vor ihm geschafft.

[Piper]

Trotzdem finde ich die Reaktion von Apple ein wenig übertrieben. Formal hat Apple recht, wenn sie ihm den Developer Account sperren. Aber Dankbarkeit gegenüber ihm, dass er eine massive Sicherheitslücke gefunden hat, zeigt sich so auch nicht gerade. Ich hoffe auch, dass die Lücke bald geschlossen wird, die Sicherheit des App Stores war für mich auch immer ein zentrales Argument für iOS.

[Prabhu Deva]

Nur dankbar und nicht verärgert wäre Apple, wenn Miller ihnen die Lücke ohne "Live-Demo" einfach diskret genannt hätte (wofür es möglicherweise auch Prämien gibt). Aber so ein mehr oder weniger prominenter Security Researcher (sprich: Hacker) will halt auch was für seine Reputation tun. Was er ja auch geschafft hat.

[Fisco83]

So wieich gelesen habe, hatte Miller das Problem Apple schon vor einiger Zeit gemeldet. Als Apple allerdings keine Reaktion zeigte, hat er die Lücke publik gemacht.

[Prabhu Deva]

Aber das mit der App hat er ihnen nicht gesagt.

Zitat von ihm:
"To answer questions I hear: I did contact Apple about vuln 3 weeks ago. Didn't tell'em there was an app. App has been in store since Sept."

[carpenoctemtom]

Warum hat noch keiner die Überlegung geäußert, das iOS 5.0.1 evtl. auch diese Lücke schließt?

Wobei ich Apples Reaktion genauso übertrieben finde, wie das Verhalten des Hackers---

[Outlaw]

Damit verbaut sich Apple weitere wichtige Sicherheitshinweise von Extern.

Ob das ein kluger Zug von Apple war ??

Oder war da ein Appchecker von Apple ein wenig übereifrig ??

Edit: Sinnverändernde Schreibfehler korrigiert

[*Leopard*]

Man kann auch nicht bei Millionär Müller einbrechen nur um ihm zu sagen, dass seine Alarmanlage schlecht ist. Da kann man sich wohl denken wie Millionär Müller reagieren würde. Apples Reaktion ist normal und nachvollziehbar.

[maxafe]

Nur sichert die Alarmanlage vom Herrn Müller sein eigenes Eigentum und nicht das vom Herrn Mayer. Die Sicherheitslücke betrifft ja nur indirekt Apple. Vorwiegend schadet es den Usern.

[Chris]

Die werden früher oder später auch diese Lücke schließen.