App Store – Code sign Bug

Διαφημίσεις:



O Charlie Miller, ένας πολύ γνωστός Mac hacker βρήκε ένα τρόπο να βάλει εφαρμογή malware στο app store! Αυτό το κατάφερε με ένα bug στο code sign της εφαρμογής κατά την διάρκεια καταχώρησης της στο App Store και δίνει την δυνατότητα στον hacker να κλέψει όλα τα προσωπικά δεδομένα του χρήστη!

O Miller μας εξηγεί ότι το code sign επιτρέπει στις εφαρμογές να τρέχουν μόνο συγκεκριμένες εντολές να εκτελεστούν και η Apple εγκρίνει τις εφαρμογές που χρησιμοποιούν τις συγκεκριμένες εντολές και απορρίπτει όλες τις υπόλοιπες. O Miller όμως βρήκε έναν τρόπο ώστε οι εφαρμογές να περνάνε από το έλεγχο ασφαλείας της Apple και δίνει στην εφαρμογή την δυνατότητα να κατεβάζει νέες εντολές που η Apple δεν επέτρεπε να χρησιμοποιηθούν και τις χρησιμοποιεί! Οι δυνατότητες της εφαρμογής είναι πάρα πολλές μπορεί να διαβάσει τις επαφές, τις φωτογραφίες, να κάνει το τηλέφωνο να χτυπήσει ή να δονηθεί και πολλά άλλα!

Το συγκεκριμένο bug πρωτοεμφανίστηκε στην έκδοση 4.3 μέσω του Safari! όπου μέσω javascript μπορούσε να κάνει ακριβώς το ίδιο! Η Apple έκλεισε την τρύπα σε επόμενη έκδοση σχεδόν άμεσα, αλλά ο Miller βρήκε πάλι νέα τρύπα που του έδινε την δυνατότητα να ενσωματώνει πάλι μέσω του Safari σε οποιαδήποτε εφαρμογή κατέβαινε από το App Store!

Η νέα εφαρμογή του με το Bug του code sign ονομάζεται “Instastock” και βρίσκεται στο App Store από τον Σεπτέμβριο! Υποτίθεται ότι είναι μια τυπική εφαρμογή μετοχών αλλά στην πραγματικότητα επικοινωνεί με τον Server του Miller χρησιμοποιώντας εντολές για υποκλοπή φωτογραφιών, επαφών κτλ…

Η Apple απέσυρε την εφαρμογή και έκανε ban για έναν ολόκληρο χρόνο τον Miller από το Developer της! Ας μην ξεχνάμε ότι ο Miller δεν είναι κανένας τυχαίος αφού το 2008 όταν πρωτοεμφανίστηκε το Macbook Air σε διαγωνισμό που είχε γίνει το έσπασε μέσω του Safari σε περίπου 2 λεπτά!

Facebook Comments
Διαφημίσεις:



Related posts