Una vulnerabilità di iOS svela i dati utenti

Charlie Miller ha scoperto una pericolosa falla nell'intero sistema di verifica e firma del software pubblicato su App Store. Apple prima ignora la questione, e poi revoca a Miller la licenza di sviluppatore.
Charlie Miller ha scoperto una pericolosa falla nell'intero sistema di verifica e firma del software pubblicato su App Store. Apple prima ignora la questione, e poi revoca a Miller la licenza di sviluppatore.

Charlie Miller, specialista della sicurezza e noto hacker, ha recentemente scoperto una pericolosa vulnerabilità in iOS che consentirebbe alle applicazioni approvate da Cupertino e pubblicate su App Store di ottenere illecitamente l’accesso ai dati dell’utente e alle impostazioni del dispositivo attraverso una falla nella firma del codice. E la risposta di Apple non s’è fatta attendere: ha revocato a Miller la licenza di sviluppatore.

Si ripromette di parlarne diffusamente al SysCan che si terrà a Taiwan la prossima settimana, ma la scoperta è oramai comprovata. Miller è riuscito infatti a pubblicare sull’App Store, con approvazione immediata e incondizionata, un’app in grado di sfruttare la vulnerabilità appena scoperta:

D’ora in avanti potreste avere programmi nell’App Store come Angry Birds che possono avviare codice non verificato da Apple sul telefono. Con questo bug non si può essere sicuri che tutto ciò che scarichiamo dall’App Store si comporti correttamente.

Il video che vedete qui sopra è stato postato il 23 settembre scorso; poi, il 14 ottobre, Miller ha ufficialmente notificato il problema ad Apple, la quale tuttavia ha nicchiato tout court sulla faccenda. Indispettito, lo sviluppatore ha inviato quindi un’app proof of concept sull’App Store che è stata prontamente pubblicata, e soltanto dopo l’articolo comparso su Forbes, Apple ha finalmente rimosso il titolo incriminato e preso di petto la questione. Ora, a causa della palese violazione delle condizioni imposte dal Developer Agreement, a Miller è stata revocata l’iscrizione al programma sviluppatori iOS:

Sono infuriato. Gli segnalo continuamente bug. Fare parte del programma sviluppatori mi ha aiutato a farlo. Stanno facendo del male a se stessi e rendendo la mia vita più difficile.

Una decisione formalmente inoppugnabile ma che stride un po’ con la clemenza adottata in tempi recenti nei confronti di Nicholas Allegra, meglio conosciuto nell’ambiente jailbreak come Comex, cui Apple ha proposto invece uno stage presso Cupertino.

Ti consigliamo anche

Link copiato negli appunti