Claudio Tamburrino

Apple e la cacciata dell'hacker

Bandito dal programma per gli Sviluppatori di iOS l'esperto di sicurezza Charlie Miller. Che aveva trovato una falla nelle app caricate su App Store

Roma - L'esperto di sicurezza Charlie Miller è stato espulso dal programma degli sviluppatori Apple dopo aver individuato una falla nella sicurezza di iOS. La notizia è stata divulgata direttamente da Miller, che attraverso il suo account Twitter ha scritto: "Apple mi ha appena cacciato dal programma per gli Sviluppatori di iOS. Rude!"

Charlie Miller è un hacker che si occupa di problemi di sicurezza e che è già ben noto per aver messo in luce vari problemi relativi alla sicurezza delle piattaforme Apple e che ha dimostrato grande competenza in materia in tutte le ultime competizioni Pwn2Own.

Da ultimo Miller aveva trovato una falla in iOS che permette alle applicazioni di raccogliere codice non firmato da server di parti terze in modo tale che venga aggiungo all'app anche una volta che questa è già passata attraverso le maglie delle approvazioni di App Store ed è ufficialmente in vendita.
Questa vulnerabilità era stata da lui sfruttata attraverso un'app chiamata "InstaStock" che in apparenza si limita a mostrare le fluttuazioni della borsa, ma che dietro le quinte riesce a collegarsi ai server di Miller ottenendo da questi parti di codice per dimostrare il proprio funzionamento e compiere nuove funzioni.

Un hack simile era stato sperimentato da John Oberheide nella competizione organizzata da Google per testare il sistema operativo Android: attraverso il programma Tootstrap aveva nascosto in un'app generica la possibilità di scaricare e far girare nuovo codice molevole sui dispositivi degli utenti che l'avevano installata.

InstaStock, secondo le intenzioni di Miller solo un'innocente esercizio di testing, è stata tuttavia considerata da Cupertino contraria alla sua licenza di utilizzo e sufficiente a cacciare Miller dal suo programma per gli Sviluppatori di iOS.



Secondo Apple, in particolare, Miller avrebbe violato due sezioni dell'accordo di licenza del programma per gli Sviluppatori iOS: la 3.2 che proibisce le interferenze con i servizi e i software Apple e la 6.1 che condanna invece il nascondere funzioni dell'app al momento della sua sottoscrizione.

Per Miller, naturalmente, la reazione di Apple rappresenta una visione davvero limitata della vicenda: "Non credo che abbiano mai fatto qualcosa del genere ad un altro ricercatore. D'altronde, nessun ricercatore aveva finora guardato nella sicurezza del suo App Store. E, dopo questo, credo che nessun altro oserà farlo".

Claudio Tamburrino
Notizie collegate
153 Commenti alla Notizia Apple e la cacciata dell'hacker
Ordina
  • Da ultimo Miller aveva trovato una falla in iOS che permette alle applicazioni di raccogliere codice non firmato da server di parti terze in modo tale che venga AGGIUNGO all'app anche una volta che questa è già passata attraverso le maglie delle approvazioni di App Store ed è ufficialmente in vendita.

    Un hack simile era stato sperimentato da John Oberheide nella competizione organizzata da Google per testare il sistema operativo Android: attraverso il programma Tootstrap aveva nascosto in un'app generica la possibilità di scaricare e far girare nuovo codice MOLEVOLE sui dispositivi degli utenti che l'avevano installata.
    non+autenticato
  • - Scritto da: Qualcuno
    > Da ultimo Miller aveva trovato una falla in iOS
    > che permette alle applicazioni di raccogliere
    > codice non firmato da server di parti terze in
    > modo tale che venga AGGIUNGO all'app anche una
    > volta che questa è già passata attraverso le
    > maglie delle approvazioni di App Store ed è
    > ufficialmente in
    > vendita.
    >
    > Un hack simile era stato sperimentato da John
    > Oberheide nella competizione organizzata da
    > Google per testare il sistema operativo Android:
    > attraverso il programma Tootstrap aveva nascosto
    > in un'app generica la possibilità di scaricare e
    > far girare nuovo codice MOLEVOLE sui dispositivi
    > degli utenti che l'avevano
    > installata.
    qualsiasi app che faccia cose di queste tipo:
    char file_name[10];
    è vulnerabile!
    Se poi la cosa è fatta di proposito hai voglia a cercarla...
    P.S. sicuramente l'autore la trova subitoOcchiolino
    non+autenticato
  • - Scritto da: Qualcuno
    > Da ultimo Miller aveva trovato una falla in iOS
    > che permette alle applicazioni di raccogliere
    > codice non firmato da server di parti terze in
    > modo tale che venga AGGIUNGO all'app anche una
    > volta che questa è già passata attraverso le
    > maglie delle approvazioni di App Store ed è
    > ufficialmente in
    > vendita.
    >
    > Un hack simile era stato sperimentato da John
    > Oberheide nella competizione organizzata da
    > Google per testare il sistema operativo Android:
    > attraverso il programma Tootstrap aveva nascosto
    > in un'app generica la possibilità di scaricare e
    > far girare nuovo codice MOLEVOLE sui dispositivi
    > degli utenti che l'avevano
    > installata.

    è vero lo testò sulla 2.1 e funzionò perfettamente, ad oggi non è più possibile ripeterlo con quel tool perchè "sporca" l'app originale rendendola facile preda del sistema di controllo google, comunque ci sarebbero diversi modi per farlo su android anche se hai poche libertà di movimento visto il sistema di permessi
    non+autenticato
  • - Scritto da: lul
    > se hai poche
    > libertà di movimento visto il sistema di
    > permessi

    Sistema di permessi che non vale un fico secco.
    Ti faccio un'app per spedire gratis SMS e ti chiedo l'accesso alla rubrica. Et voilà, inkulato.
    ruppolo
    33147
  • L'utente cretino viene sempre inkulato. Non è una novità.
    non+autenticato
  • Il social engineering prescinde dall'OS e dalle sue infrastrutture di sicurezza.
    -----------------------------------------------------------
    Modificato dall' autore il 09 novembre 2011 19.28
    -----------------------------------------------------------
    Darwin
    5126
  • - Scritto da: Darwin
    > Il social engineering prescinde dall'OS e dalle
    > sue infrastrutture di
    > sicurezza.
    > --------------------------------------------------
    > Modificato dall' autore il 09 novembre 2011 19.28
    > --------------------------------------------------


    il social engineering prescinde solo da che tonto sta usando il computer o il devices mobile senza distinzione di sistema operativo... esattamente come il Phishing

    Il malware per Android che spopola ultimamente grazie all'elevato share dello stesso Android ( che usano anche gli utonti) cosi' come l'emergere dello stesso malware per Osx sempre per lo stesso motivo dovrebbero averti insegnato almeno qualcosa coi fatti palesi ...forseRotola dal ridere
    Fiber
    3605
  • Visto che fanno a manina, gli algoritmi ok, ma fino a un certo punto Occhiolino
    non+autenticato
  • - Scritto da: Luchetto
    > Visto che fanno a manina, gli algoritmi ok, ma
    > fino a un certo punto
    > Occhiolino

    Come a manina cavano i commenti e si finisce che non si capisce più di quel che si parla ...
    non+autenticato
  • ... come scende in fretta questa notizia.
    A non sapere che è tutto automatico sencondo leggi matematiche solidissime ci sarebbe da pensare male.
    non+autenticato
  • - Scritto da: hermanhesse
    > ... come scende in fretta questa notizia.
    > A non sapere che è tutto automatico sencondo
    > leggi matematiche solidissime ci sarebbe da
    > pensare male.

    il complottismo è una bruuuuutta bestia.
    non+autenticato
  • E il menestrello forse crede che dietro questa cosa ci siano i servizi segreti...
    Ma non ti preoccupare, in otto giorni (uno in più di Dio) farà una app che scoprirà tutto!! Sorride
    non+autenticato
  • - Scritto da: PowerPC
    > E il menestrello forse crede che dietro questa
    > cosa ci siano i servizi
    > segreti...

    Il fatto che continui a pensare a me significa che mi temi.
    Stai solo attento che è facile per uno come te fare figure di palta.

    > Ma non ti preoccupare, in otto giorni (uno in più
    > di Dio) farà una app che scoprirà tutto!!
    > Sorride

    Purtroppo tu sei uno di quelle persone che pensa di aver raggiunto il top dell'evoluzione e che crede che tutti gli altri, come lui, stiano a guardare.
    Trai tu le dovute conseguenze, chitarrista da FS.
    non+autenticato
  • Mah... se mi dai una spiegazione migliore.
    A parte gli scherzi, come diavolo funziona?
    non+autenticato
  • Sono d'accordo con gli apple hater!
    Questo comportamento è intollerabile!
    Ho deciso! Oggi vendo l'iphone e mi compro il galaxy s2!
    Fan Linux
    non+autenticato
  • - Scritto da: bertuccia
    > Sono d'accordo con gli apple hater!
    > Questo comportamento è intollerabile!
    > Ho deciso! Oggi vendo l'iphone e mi compro il
    > galaxy
    > s2!
    > Fan Linux

    mi sa che devi rinnovare il copione ogni tanto Perplesso
    non+autenticato
  • - Scritto da: bertuccia
    > - Scritto da: bertuccia
    > > Sono d'accordo con gli apple hater!
    > > Questo comportamento è intollerabile!
    > > Ho deciso! Oggi vendo l'iphone e mi compro il
    > > galaxy
    > > s2!
    > > Fan Linux
    >
    > mi sa che devi rinnovare il copione ogni tanto
    >Perplesso

    Taci clone!
    non+autenticato
  • - Scritto da: bertuccia
    >
    > Taci clone!

    non ho mai risposto in maniera così sfacciata ai miei cloni

    ps. cominci a rosikare già dalle 7.35 di mattina?
    stai messo male!! A bocca aperta

    buona giornata Sorride

    /PLONK
    non+autenticato
  • mi sa che il tuo clone è il menestrello ermanS .....
    Comunque, credo che sia significativo che quando si trova un malware su ios questo diventi uno scoop... Di quelli su Android ormai non si parla più Occhiolino
    non+autenticato
  • - Scritto da: PowerPC
    > mi sa che il tuo clone è il menestrello ermanS
    > .....

    non credo e comunque non mi interessa

    > Comunque, credo che sia significativo che quando
    > si trova un malware su ios questo diventi uno
    > scoop... Di quelli su Android ormai non si parla
    > più Occhiolino

    come quelli per windows
    non+autenticato
  • - Scritto da: PowerPC
    > mi sa che il tuo clone è il menestrello ermanS
    > .....

    No, mio caro suonatore di chitarra sotto i ponti.

    > Comunque, credo che sia significativo che quando
    > si trova un malware su ios questo diventi uno
    > scoop... Di quelli su Android ormai non si parla
    > più
    > Occhiolino

    La cosa che tu ed i macachi non avete ancora capito è che i malware voi ce li avete dal primo minuto.
    Imparate ad usare Wireshark.


    E tu magari impara anche a suonare.Occhiolino
    non+autenticato
  • - Scritto da: PowerPC
    > mi sa che il tuo clone è il menestrello ermanS
    > .....
    > Comunque, credo che sia significativo che quando
    > si trova un malware su ios questo diventi uno
    > scoop... Di quelli su Android ormai non si parla
    > più
    > Occhiolino

    La libertà dell'utente dev'essere proporzionale al suo cervello. Questo dice tutto sugli utenti Apple.
    Shiba
    3868
  • Apple non gradisce questo genere di "prove tecniche" perchè rappresentano il primo passo per violare iOS....questo è un dato di fatto!

    certo che se sbattevano fuori "Giuseppe Bianchi" della "Securweb srl" non gliene fregava niente a nessuno....così invece....hanno ottenuto un enorme effetto mediatico, sono dei maestri in questo, non c'è che dire!
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 19 discussioni)