Καινούργιο κενό ασφαλείας στο IOS

Ο ειδικός σε θέματα ασφαλείας Charlie Miller βρήκε ένα πολυ σημαντικό κενό ασφαλείας για το λειτουργικό των IOS συσκευών και συγκεκριμένα στον έλεγχο του κώδικα που γίνεται από την Apple. Το συγκεκριμένο κενό ασφαλείας αφήνει τον καθένα να τρέξει κώδικα σε IOS συσκευές που σύμφωνα με τα λεγόμενα του ούτε η Apple αλλά ούτε ο χρήστης ο ίδιος θα το καταλάβει. Πιο συγκεκριμένα, χρησιμοποιώντας αυτό το κενό ασφαλείας, έχει βρει τρόπο να βάλει "πειραγμένες" εφαρμογές στο App Store και η Apple να μην το πάρει χαμπάρι ποτέ. Για να το αποδείξει, έφτιαξε μια εφαρμογή που είχε να κάνει με χρηματηστήριο και μετοχές, τουλάχιστον αυτό υποτίθεται ότι έκανε..

Η εφαρμογή του όντως πέρασε τον έλεγχο της Apple και ανέβηκε στο App Store. Χρησιμοποιώντας αυτό το κενό ασφαλείας πέρασε κρυφά κώδικα που δεν θα επέτρεπε η Apple υπό κανονικές συνθήκες και μπορούσε πλέον να κάνει κυριολεκτικά ότι ήθελε στην (κάθε) IOS συσκευή που έχει κατεβάσει την εφαρμογή και τη τρέχει. Μπορούσε να δει αλλά και να κατεβάσει στον υπολογιστή του από μηνύματα και επαφές μέχρι και φωτογραφίες. Επίσης μπορούσε να "παίξει" με την συσκευή, στέλνοντας της διάφορους ήχους ή να την κάνει να δονηθεί. Για να ρίξει περισσότερο φως στο συγκεκριμένο κενό ασφαλείας, ο Charlie Miller θα μιλήσει στο συνέδριο SysCan που πραγματοποιείται στην Ταϊβάν την ερχόμενη εβδομάδα. Αν σας θυμίζει κάτι το όνομα του, είναι ο ίδιος κύριος που χρησιμοποιώντας ένα κενό ασφαλείας του Safari είχε αποκτήσει πρόσβαση σε ένα MacBook Air σε λιγότερο από 2 λεπτά το 2008. Ανησυχία έχει προκαλέσει φυσικά στους IOS χρήστες ανά το κόσμο το γεγονός αυτό. Μια οποιαδήποτε εφαρμογή θα μπορούσε ήδη να το χρησιμοποιεί και για διαφορετικούς λόγους από του κύριου Miller (που ήταν καθαρά δόξας κατ' εμέ) να μην το έφερε ποτέ στο φως της δημοσιότητας. Προσωπικά πιστεύω ότι η Apple θα το λύσει γρήγορα και ευελπιστώ ότι δε θα χρειαστεί κάτι για τις IOS συσκευές, όπως πχ κάποιο update το οποίο θα μπορούσε να καθυστερήσει τις διαδικασίες, παρά μόνο κινήσεις προς τους δικούς της servers και App Store. Συμβουλή μου μέχρι να έχουμε νεότερα, είναι προσοχή στο τι κατεβάζουμε, να είναι από γνωστούς δημιουργούς, μέχρι να έχουμε νεότερα.

Να αναφέρουμε επίσης πως ο dev λογαριασμός του συγκεκριμένου κύριου έκλεισε από την Apple. Ο λόγος δεν είναι φυσικά το ότι βρήκε ένα κενό ασφαλείας και το δημοσιοποίησε, αλλά ότι παραβίασε τους όρους και τους κανονισμούς που πρέπει να συμφωνήσει κάποιος για να αποκτήσει dev λογαριασμό. Πιο συγκεκριμένα παραβίασε τον όρο όπου απαγορεύεται να χρησιμοποιήσουν το οποιοδήποτε κενό ασφαλείας τυχών βρουν, κάτι που ο συγκεκριμένος κύριος το έκανε με το παραπάνω όπως θα δείτε και στο βίντεο που ακολουθεί.