Независимый эксперт нашел ошибки в новых iPhone и iPad и тут же лишился лицензии разработчика приложений для Apple

8 ноября 2011 года

Известный эксперт по компьютерной безопасности Чарли Миллер лишился лицензии Apple на разработку программного обеспечения. Миллера называют "серийным взломщиком" продуктов Apple - с 2007 года он регулярно находит и демонстрирует способы эксплуатации уязвимостей, как в мобильной системе iOS, так и в настольной Mac OS X.

Последней каплей, как полагают, стало обнародование им приложения, которое демонстрирует серьезные ошибки в программном обеспечении новых iPhone и iPad. Это программа InstaStock, которая отслеживает цены акций на бирже в реальном времени. Она появилась в App Store в сентябре, а 7 ноября 2011 года Миллер заявил, что InstaStock включает в себя секретный код, который позволяет обойти защиту устройств на базе ОС iOS.

Платформа iOS считалась достаточно хорошо защищенной от хакерских атак, в том числе потому, что Apple тщательно проверяет каждое приложение, публикуемое в ее магазине App Store, и не допускает появления вредоносных программ для своей системы.

Проверка осуществляется вплоть до программных команд, которое использует приложение. Однако, как сообщает РИА "Новости" (Архивная копия от 8 августа 2012 на Wayback Machine), эксперт обнаружил, что в версиях iOS 4.3 и выше возможно исполнение кода, который не был утвержден программистами Apple.

Через несколько часов после публикации данных о секретом коде Миллер получил уведомление от Apple о лишении лицензии, в котором ему напомнили, что он не имел права: "искажать и скрывать функции, содержание, а также предоставляемые услуги" разработанных им приложений. Саму уязвимость Apple пока никак не прокомментировала.

После лишения лицензии Миллер заявил: "У компании были все правовые основания для этого, но все же я думаю, что это немного грубо. Это будет препятствовать моей возможности повышать безопасность продуктов компании".

Открытие Миллера сделало возможным размещение в App Store приложения, которое само по себе не является вредоносным, но если запустить программу на смартфоне или планшете, она через браузер свяжется с сервером злоумышленника и получит команды, которые приведут к взлому устройства. С помощью открытой им уязвимости Миллеру удалось удаленно заставить телефон отослать фотографии из его памяти, скопировать контакты, воспроизвести музыкальный файл и активировать вибромотор смартфона.

В прошлом Миллер первым обнаружил уязвимость в iPhone, которую злоумышленники могут эксплуатировать удаленно. С ее помощью можно было похищать текстовые сообщения, информацию из списка контактов, историю вызовов и сообщения голосовой почты. Миллер утверждает, что за последние 4 года он обнаружил десятки уязвимостей в платформах iOS и Mac OS X.