L’esperto di sicurezza Charlie Miller è stato espulso dal programma degli sviluppatori Apple dopo aver individuato una falla nella sicurezza di iOS . La notizia è stata divulgata direttamente da Miller, che attraverso il suo account Twitter ha scritto : “Apple mi ha appena cacciato dal programma per gli Sviluppatori di iOS. Rude!”
Charlie Miller è un hacker che si occupa di problemi di sicurezza e che è già ben noto per aver messo in luce vari problemi relativi alla sicurezza delle piattaforme Apple e che ha dimostrato grande competenza in materia in tutte le ultime competizioni Pwn2Own.
Da ultimo Miller aveva trovato una falla in iOS che permette alle applicazioni di raccogliere codice non firmato da server di parti terze in modo tale che venga aggiungo all’app anche una volta che questa è già passata attraverso le maglie delle approvazioni di App Store ed è ufficialmente in vendita.
Questa vulnerabilità era stata da lui sfruttata attraverso un’app chiamata “InstaStock” che in apparenza si limita a mostrare le fluttuazioni della borsa, ma che dietro le quinte riesce a collegarsi ai server di Miller ottenendo da questi parti di codice per dimostrare il proprio funzionamento e compiere nuove funzioni.
Un hack simile era stato sperimentato da John Oberheide nella competizione organizzata da Google per testare il sistema operativo Android: attraverso il programma Tootstrap aveva nascosto in un’app generica la possibilità di scaricare e far girare nuovo codice molevole sui dispositivi degli utenti che l’avevano installata.
InstaStock, secondo le intenzioni di Miller solo un’innocente esercizio di testing, è stata tuttavia considerata da Cupertino contraria alla sua licenza di utilizzo e sufficiente a cacciare Miller dal suo programma per gli Sviluppatori di iOS.
Secondo Apple, in particolare, Miller avrebbe violato due sezioni dell’accordo di licenza del programma per gli Sviluppatori iOS: la 3.2 che proibisce le interferenze con i servizi e i software Apple e la 6.1 che condanna invece il nascondere funzioni dell’app al momento della sua sottoscrizione .
Per Miller, naturalmente, la reazione di Apple rappresenta una visione davvero limitata della vicenda: “Non credo che abbiano mai fatto qualcosa del genere ad un altro ricercatore. D’altronde, nessun ricercatore aveva finora guardato nella sicurezza del suo App Store. E, dopo questo, credo che nessun altro oserà farlo”.
Claudio Tamburrino