09 Ноября 2011
Posted in
Новости
Исследователь Чарли Миллер в качестве эксперимента разместил в Apple App Store приложение с эксплойтом, с помощью которого дистанционно можно загружать на чужие iPhone посторонний код и запускать его. Официальную проверку Apple программа прошла без труда: она носит название Instastock и маскируется под систему отслеживания биржевых котировок.
Эксплойт пользуется брешью в механизме исполнения JavaScript найденной Миллером, она имеется во всех версиях iOS начиная с версии 4.3. Для скорости механизм обходит требование проверки сертификата подписанного кода, это и дало Миллеру возможность разместить в приложении троянскую часть.
Сообщил Миллер о результатах своего эксперимента в видеообращении, в котором он наглядно продемонстрировал, как можно заставить смартфон вибрировать и как получить его адресную книгу. В ответ на это Apple всего лишь изъяла приложение из супермаркета и на год лишила Миллера участия в программе разработчиков. Исследователь же утверждает, что еще две недели назад предупреждал Apple о данной уязвимости. Рассказать о ней более подробно Миллер планирует на следующей неделе на конференции SysCon. Так что теперь, сидя на диване нео и скачивая различные приложения для развлечения и для работы нужно быть крайне внимательным, впрочем, как и всегда.
| < Предыдущая | Следующая > |
|---|