Charlie Miller descobre mais um bug de segurança severo no iOS e é expulso da App Store
IMAGEaHR0cDovLzIuYnAuYmxvZ3Nwb3QuY29tLy01dHpja2FyV3RyTS9Ub3VuZ2x1TVVrSS9BQUFBQUFBQUFnYy9DRG9tc2o4dFNDay9zMTYwMC9pUGhvbmUrM2crdiUyNUMzJTI1QTFyaW9zLmpwZw==
O especialista em segurança Charlie Miller tem uma história e tanto no mundo Apple, e hoje reapareceu para escrever mais um capítulo dela. O hacker descobriu recentemente mais uma brecha de segurança severa no iOS, publicando, ele mesmo, um aplicativo na loja da Maçã.
Muitos de vocês devem saber, mas todo software publicado na App Store só pode rodar em iGadgets quando tem seu código validado e assinado pela Apple. O que Miller descobriu, e provou na prática, no vídeo abaixo, é que, mesmo depois de passar pela aprovação do time da Maçã, ele poderia executar códigos não-autorizados em devices alheios.
eW5UdHV3UVlObWs=
iller é uma pessoa séria - embora tenha violado os termos do iOS Developer Program e tenha mostrado ao mundo uma pisada de bola da Apple, ele não se aproveitou da brecha para fazer mal algum. O vídeo acima é apenas uma prova de conceito, nenhum usuário foi prejudicado por isso.
Pouco tempo depois que a Forbes publicou a descoberta de Miller, nesta tarde, tal aplicativo foi rapidamente removido pela Apple. E, pouco tempo depois, o hacker foi expulso do iOS Dev Program (um pouco paradoxal, mas é o certo a fazer).
Eis a carta que Miller recebeu da Apple:
This letter serves as notice of termination of the iOS Developer Program License Agreement (the "iDP Agreement") and the Registered Apple Developer Agreement (the "Registered Developer Agreement") between you and Apple, effective immediately.
Pursuant to Section 3.2(f) of the iDP Agreement, you agreed that you would not "commit any act intended to interfere with the Apple Software or related services, the intent of this Agreement, or Apple's business practices including, but not limited to, taking actions that may hinder the performance or intended use of the App Store or the Program". Further, pursuant to Section 6.1 of the iDP Agreement, you further agree that "you will not attempt to hide, misrepresent or obscure any features, content, services or functionality in Your submitted Applications from Apple's review or otherwise hinder Apple from being able to fully review such Applications." Apple has good reason to believe that you violated this Section by intentionally submitting an App that behaves in a manner different from its intended use.
Apple may terminate your status as a Registered Apple Developer at any time in its sole discretion and may terminate you upon notice under the iDP Agreement for dishonest and misleading acts relating to that agreement. We would like to remind you of your obligations with regard to all software and other confidential information that you obtained from Apple as a Registered Apple Developer and under the iDP Agreement. You must promptly cease all use of and destroy such materials and comply with all the other termination obligations set forth in Section 12.3 of the iDP Agreement and Section 8 of the Registered Developer Agreement.
This letter is not intended to be a complete statement of the facts regarding this matter, and nothing in this letter should be construed as a waiver of any rights or remedies Apple may have, all of which are hereby reserved. Finally, please note that we will deny your reapplication to the iOS Developer Program for at least a year considering the nature of your acts.
Sincerely, Apple Inc.
Ele, surpreendentemente, não gostou nem um pouco, publicou no twitter:
OMG, Apple just kicked me out of the iOS Developer program. That's so rude!
First they give researcher's access to developer programs, (although I paid for mine) then they kick them out.. for doing research. Me angry
A Apple inegavelmente já está ciente da falha e terá mais trabalho pra fazer antes de lançar o iOS 5.0.1 para todos - isso se a correção para a brecha descoberta por Miller não vier depois (o que não seria uma boa ideia). Segundo a Forbes, Miller teria avisado a empresa sobre isso já no dia 14 de outubro.
Miller dará mais detalhes sobre o bug na conferência SysCan 2011, na semana que vem, em Taiwan. Vamos torcer para que, até lá, essa brecha já tenha virado passado no iOS.
