Apple verbant lekkenkoning Charlie Miller

Door: Jasper Bakker | 08 november 2011 11:11

Apple

Apple heeft de ontwikkelaarslicentie ingetrokken van de bekende hacker Charlie Miller. Die heeft een groot lek in iOS5 ontdekt en dat al aan Apple gemeld.

De security-expert, die al jaren gaten ontdekt in Macs en iPhones, heeft een flink beveiligingsgat gevonden in iOS5, meldt zakenblad Forbes. Hij kan daarmee een schijnbaar legitieme app eigen code laten downloaden en vervolgens uitvoeren in het geheugen van iPhones en iPads. Zo'n Trojan kan dan bijvoorbeeld informatie stelen.

Spyware-app

Een malafide app kan via het lek data vergaren die op de Apple-smartphone of -tablet is opgeslagen, bijvoorbeeld uit het adresboek of mailaccount. Regelmatig opduikende spyware voor Android doet dit allang. Miller heeft al een proof-of-concept gemaakt: de app InstaStock. Die aandelenmonitor is in eerste instantie wel door Apple goedgekeurd. De goedgekeurde app is inmiddels uit de App Store verwijderd, meldt Miller in een tweet.

De InstaStock-app geeft aandelenkoersen weer, maar slurpt op de achtergrond gebruikersgegevens op. Via het lek is het ook mogelijk sms-berichten te versturen of data op de iPhone of iPad te wissen. Miller geeft komende week een presentatie hierover op de SysCan-conferentie in Taiwan.

'Schuldig aan misleiding'

Het door hem ontdekte iOS5-lek is al gemeld aan Apple. Miller houdt details nog onder de pet zodat het bedrijf het gat kan dichten. Apple reageert nu door zijn ontwikkelaarslicentie in te trekken. Hij mag geen apps voor iOS meer maken en indienen ter goedkeuring voor de iTunes App Store.

De verklaring voor deze verbanning is dat Miller schuldig is aan misleiding. De door hem ontwikkelde en ingediende InstaStock-app is anders dan die zich voordoet. Het verbergen, verkeerd weergeven of verdoezelen van mogelijkheden, content, diensten of functionaliteit van apps zijn expliciet verboden in Apple's licentievoorwaarden voor iOS-developers.

Ook is het verboden voor developers om zich te mengen in de diensten van Apple, zoals de App Store en de beveiliging daarvan. Het bedrijf noemt dit in de brief aan Miller, die is gepubliceerd door ict-nieuwssite Cnet. De hacker werpt via Twitter tegen dat zijn app nodig is om het mogelijke misbruik echt aan te tonen.

Stank voor dank

Miller reageert dan ook ontdaan op zijn verbanning: “Wat ongelofelijk onbeleefd", twittert hij. De security-onderzoeker klaagt op Twitter dat Apple hier nogal tegenstrijdig handelt: “Eerst geven ze onderzoekers toegang tot developer-programma's en dan schoppen ze die eruit vanwege het doen van onderzoek." De hacker merkt in die tweet ook op dat hij heeft betaald voor zijn developer-licentie.

Miller demonstreert in een YouTube-video zijn omzeiling van de App Store-beveiliging die iOS alleen goedgekeurde (signed) code laat uitvoeren. Zijn InstaStock-app kijkt op een command&control-server van Miller of er code is om te downloaden en uit te voeren.

Never gonna give you up

In de demonstratie laat hij in eerste instantie geen malware zien, maar een klassieke internet-grap. Vervolgens toont hij een wel kwaadaardige payload, waarbij de data op de iPhone zichtbaar is net als de draaiende processen. Ook is het mogelijk de hardware van de smartphone aan te sturen, zoals de trilfunctie.

Millers demonstratie van het iOS5-lek:

[youtube]ynTtuwQYNmk[/youtube]