Apple weert ontwikkelaar die iOS-lek onthult

Beveiligingsonderzoeker Charlie Miller mag van Apple geen iOS-apps meer ontwikkelen omdat hij een securityprobleem heeft blootgelegd.

Het zakelijke tijdschrift Forbes berichtte gisteren over de ontdekking van beveiligingsspecialist Charlie Miller. Die ontwikkelde een beursapp voor de iPhone en iPad waarmee onder meer persoonlijke gegevens van de gebruiker gestolen kunnen worden.

De app genaamd Instastock kwam door de kwaliteitscontrole van Apple en werd aangeboden in de App Store. Inmiddels heeft Apple Instastock verwijderd en het ontwikkelaarsaccount van Miller geschrapt. Dit omdat hij de licentievoorwaarden heeft geschonden door de extra functionaliteit te verzwijgen. Dat laat de hacker weten via Twitter.

[related_article id=”158256″]

Ongecontroleerde code
Miller wist de kwaliteitscontroleurs van Apple om de tuin te leiden dankzij een lek in de mobiele Safari-browser. Hij ontdekte bij de release van iOS 4.3 dat Apple Javascriptcode van het web veel dieper toegang tot het werkgeheugen toestaat, met de bedoeling de browser te versnellen.

Die code wordt echter niet door Apple doorgelicht en kan dus in principe schadelijk zijn. Miller vond een bug waardoor de Javascript-uitzondering voor elke app gold, en hij ontwikkelde de app InstaStock om de werking aan te tonen.

Instastock lijkt alleen de meest recente aandelenkoersen op te halen, maar haalt in de achtergrond ook code op van een server van Miller. Hierdoor kan hij onder meer het adressenboek van Instastock-gebruikers downloaden, YouTube-filmpjes en hardware zoals de trilmotor en luidspreker activeren.

Lekkenkoning
Miller zoekt al jaren naar beveiligingsfouten in producten van Apple en slaagt daar geregeld in. Hij heeft het lek reeds gemeld aan Apple en vindt het dan ook zeer onbeleefd dat zijn ontwikkelaarsaccount is beëindigd.