Apple ha vetado al investigador de seguridad Charlie Miller después de que éste descubrió y reportó las vulnerabilidades potenciales en las apps de iOS. Al explotar el error (parchado subsecuentemente por Apple), Miller creó una app que hace posible robar datos o tomar control de otros dispositivos iOS. Más aún, Miller pudo pasar los controles de aprobación de la empresa de la manzana.
InstaStock es -ostensiblemente- una app para llevar cuenta del mercado de acciones, que se sometió a la tienda de apps de Apple sin tener código malicioso, el cual era capaz de descargar código de un servidor remoto e instalarse en el dispositivo del usuario. La app demostró que antes de la actualización iOS 5.0.1 era posible para una app en iOS el acceder y ejecutar código de terceras partes, cosa que era imposible de verificar por Apple.
En una demostración de la app en un video de YouTue (ver más abajo), Miller descargó la app aprobada por Apple, presentando al usuario los datos del mercado de acciones. Habiendo borrado la app, Miller hizo una descarga de un servidor remoto y recargó la app desde la tienda App, un paso necesario ya que Miller diseñó la app para descargar solamente código adicional la primera vez que se usaba. En esta ocasión, la app mostró las posibilidades de hacer daño, aunque nada de su código robaba datos o tomaba control del dispositivo. Simplemente demostró que esto podía hacerse.
En otra demostración de Miller, fue capaz de controlar un iPhone desde la línea de comandos desde un servidor remoto. Desde la línea de comandos se pudieron ver los archivos del iPhone y los procesos, hacer que el teléfono vibrara y copiar incluso su archivo de direcciones.
Y aunque Apple acredita a Miller por mostrarles el problema, éste recibió una carta electrónica a principios de noviembre indicándole que había terminado su acuerdo de desarrollador de iOS, apenas unas pocas horas dspués de que hizo públicos sus hallazgos, asunto que Apple había sido informado de los problemas de seguridad de iOS desde tres semanas antes.
Miller admite que él violó los términos de la licencia de desarrollo y que Apple tiene todo el derecho de cancelársela. Pero Miller argumenta que Apple está padeciendo de no ver más allá: “reporté los problemas a ellos todo el tiempo. Ser parte del programa de desarrolladores me ayudó a esto. Ellos se están lastimando a sí mismos, además de hacer mi vida más difícil“.
Apple ha corregido el problema mostrado por Miller, pero pone en tela de juicio su comportamiento al vetar a Miller, además de poner en jaque literalmente todo este proceso de aprobación de las apps.
He aquí el video mencionado. Hasta donde entendemos, la app de Miller ya no está disponible en la tienda en línea.
Fuente: GizMag