Un buen día Charlie Miller programó y subió al iTunes Store una aplicación inocente en apariencia, pero capaz de sortear los meticulosos procesos de revisión de Apple porque dentro de sí traía código para descargar y ejecutar comandos a voluntad desde el servidor de un potencial atacante. La aplicación tenía por nombre Instastock y sucedió que en cuestión de horas fue retirada de la tienda de aplicaciones y su creador fue bloqueado (quizá de por vida) del iOS Developer program. Miller es un experto hacker de dispositivos Apple. Pero no es un…
Comentarios
Opcion A) "Joder, vaya fallo, gracias tio. ¿Como lo haces? Asi sabremos como evitarlo para las proximas veces, menos mal que estabas ahi... Podria haber sido otro. Toma un Ipad de regalo, tambien puedes toquetear con el. Ah! y si puedes sigue asi y avisanos con mas cosas"
Opcion B) "Pero que demonios! Banead a este listo! Como se atreve! Asco de gente..."
#5 Una cosa es informar del error a la compañía y otra publicar una aplicación con código malicioso. Esto ultimo esta prohibido bajo la licencia de desarrollador, así que Apple ha hecho bien en expulsarlo. Luego, siendo quien es, seguro que lo readmite de alguna forma.
#24 y #26 ¿Entonces? ¿Como sabe que hay ese fallo sin publicar y usar la app que lo hace y lo confirma?
#29 Probandola en su propio teléfono. No hay necesidad de publicarla, cuando eres desarrollador.
#5 Mas bien sería así:
Opción A: Miller encuentra un exploit, se lo dice a Apple en privado. Apple lo corrige y le recompensa (o no, desconozco la política de Apple).
Opción B: Miller encuentra un exploit. Lo sube al AppStore sin consentimiento de Apple. Anuncia que ha encontrado un exploit del AppStore y que lo publicará en una convención de seguridad próxima, ridiculizando a Apple en su camino. Apple retira la app (lógico) y le bloquea (por infringir los términos de uso de la AppStore como pasaría con cualquier otro usuario que hiciera lo mismo).
Obviamente la opción de Miller fué la B. Miller es un crack, de eso no hay duda, pero creo que en este caso se pasó de listo y le perdió el querer fardar de este exploit.
Este tipo de actuaciones me suenan a la del presidente de Iran cuando dice que en su país no hay homosexuales, y si alguien dice que lo es lo matan.
En Apple igual, no hay fallos, y si alguien dice lo contrario se expulsa.
#3 Técnicamente ha sido expulsado por violar el acuerdo de desarrolladores al publicar una aplicación en la App Store en la que se usa código malicioso para explotar vulnerabilidades del sistema. Está en el acuerdo que todo desarrollador acepta. Otra cosa es que ese acuerdo te parezca justo o no, pero sobre el papel, su expulsión está justificada. Y otra cuestión aparte es que gente como él ayuda a mejorar los sistemas, y por supuesto no hay que joderles sino darles las gracias o incluso darles trabajo.
#9 ¿Quieres decir que Miller trabajó para Apple? No me consta que trabajara para ellos nunca.
Es por vuestra seguridad; si esa persona no puede descubrir/publicar bugs todos los usuarios de Apple estarán más seguros.
Otra fuente, dan mas detalles
http://www.opensecurity.es/vulnerabilidad-ios-permite-codigo-malicioso-aplicaciones/
¿Que quiso decir con esto?:
"Primero me dan acceso como investigador a los programas de desarrollo, (aunque pagué por el mío) entonces ellos me sacan… por hacer investigación. Enojado."
¿Acceso como investigador? igual es que realmente tenía un trato distinto con Apple que el resto, en ese caso creo que estaría injustificado que le echaran. Pero no me queda claro.
#9 ¿Pero de donde te sacas que trabaja con ellos y qué tiene acceso al código fuente?
#15 Desde luego ya no trabaja para Apple puesto que ha sido despedido, pero trabajaba para ellos eso seguro, búscalo anda.
http://buengeek.com/desarrollador-de-apple-es-despedido-por-evidenciar-fallo-en-seguridad-de-su-sistema
http://www.siliconnews.es/2011/11/08/apple-despide-a-un-desarrollador-que-denuncia-un-agujero-en-seguridad/
http://www.muycomputerpro.com/2011/11/09/apple-expulsa-hacker-charlie-miller-como-desarrollador-ios-demostrar-vulnerabilidades/
Algo mas...
quería decir #16
#16 Las traducciones en las que pone "despedido" son incorrectas. Mira si no a las fuentes a las que apuntan.
Es "expulsado", porque en realidad no trabaja para Apple, sino que, como dice #17, te "apuntas" a un programa de desarrollo de Apple, en el que pagas para entrar, para que tus aplicaciones puedan aparecer en la Apple Store.
#15 Pues que desarrollador de Apple puede ser cualquiera con tal de pagar 99 dólares al año. Eso no significa que trabajes para Apple ni que tengas acceso al código fuente. Y Apple lo que ha hecho es retirarle esa licencia de desarrollador.
Pues que ceguera por parte de la compañia... no son formas; aunque desde luego, algún otro problema tiene que haber por medio. Y el tipo en cuestión bien podía no haber subido el vídeo a Youtube; eso ya son ganas de dañar la imagen de la empresa para la que trabajas. Así que imagino que esta decisión la tomó por otras causas que nada tienen que ver con la seguridad.
A mi tambien me parece justificada. No puedes infectar miles de ordenadores por ejemplo con la excusa de que estabas dejando en evidencia el sistema de actualizaciones de microsoft y luego quejarte por las consecuencias.
Lo que tendria que haber echo es el procedimiento:
1º Comunicarlo a la empresa.
2º Hacerlo publico
3º Explotarlo.
(dejando un tiempo prudencial)
Si la empresa no da corregido el problema, aunque las consecuencias te la tienes que comer si llegas a explotarlo.
PD: si lo pillaron muy bueno no era
¿Alguien puede explicar qué es lo que hace este tío? ¿Con esta aplicación qué es lo que se hubiese podido cargar?
#12
Mira, lo pone en la noticia:tener un programa en la App Store como Angry Birds que puede ejecutar código en tu teléfono que Apple nunca tuvo oportunidad de revisar.
Eso significa que te puedes descargar cualquier cosa, un troyano por ejemplo. Y con la garantía de apple store. Vamos, que no revisan muy a fondo lo que la gente sube.
Es coherente con la ideología de apple y de sus consumidores, un producto cerrado se protege mediante oscuridad.
Los operadores, desarrolladores y vendedores de sistemas que confían en la seguridad por oscuridad a menudo mantienen en secreto que sus sistemas tienen fallos, para evitar crear desconfianza en sus servicios o productos y por tanto, en su imagen de mercado. Es posible que esto pudiera conducir en algunos casos a una representación fraudulenta de la seguridad de sus productos, aunque la aplicación de la ley a este respecto ha sido poco contundente, en parte porque las condiciones de uso impuestas por los vendedores como parte del contrato de licencia redimen (con más o menos éxito) sus aparentes obligaciones bajo el estatuto legal de muchas jurisdicciones que requieren una adecuación para el uso o estándares de calidad similares.
¿No muerdas la manzana que te da de comer?
>_
Apple se cree el sistema perfecto en filtrado de software, virus etc... han daño su """Honor""" (si lo tuvieran).
Hacker?, que yo sepa es un desarrollador (ademas el desarrollador jefe) de las app-store de Apple. No creo que sea ningún Hacker solo alguien que trabaja alli y conoce al dedillo todas las aplicaciones de Apple y por supuesto sus puntos débiles y el como explotarlas. De ahi a llamar Hacker a ese hombre. En fin, supongo que esa palabra tiene distintos significados dependiendo de quien la pronuncie y por supuesto en el pais que se haga.
#2 Charlie Miller es un investigador de seguridad informática (hacker si lo prefieres) bastante famoso y conocido, entre otras cosas por sus exploits para productos Apple:
http://www.zdnet.com/blog/security/charlie-miller-wins-pwn2own-again-with-iphone-4-exploit/8378
#6 Esta bien, pero solo digo que es mas fácil descubrir vulnerabilidades de productos como Apple si estas trabajando con ellos y tienes acceso a su código bien guardadito bajo llave. Otra cosa bien diferente es alguien que no tiene acceso al código y logra conseguir como explotar una aplicación ¿no crees?.
#2 Precisamente para una vez que emplean correctamente el termino hacker no vayamos a quejarnos
#2 El tio coló un troyano en la AppStore que le daba control sobre el dispositivo de quienes la instalasen. Podía incluso hacer vibrar los teléfonos remotamente, acceder a datos, fotografías, etc... Y sale en una foto con un cartel detrás que pone "HACK LIKE A CHAMPION TODAY". Yo diría que algo de hacker tiene .
#2 EL termino hacker ya se usa para todo. Si mal no recuerdo:
Hacker es aquel que busca vulnerabilidades en sistemas pero sin animo de lucho. Informa a los propietarios etc..
"Cracker" es el que busca aprovechar los fallos para lucrarse o joder dicho finamente.
Pero claro a los gobiernos y prensa llamar a todos hackers es mas facil
#22 Bueno, originalmente un hacker es un "manitas" de la informática, alguien que desarrolla su propio hardware o software para cubrir una necesidad.
#22 Además "Cracker" también se usa para designar a los que mediante ingeniería inversa quitan las protecciones a juegos y programas. Se sigue usando el término "crack" para designar el programa que altera otro programa para quitarle la protección.
Creo que a estas alturas nadie tiene una acepción categóricamente correcta para estos términos. El que se pique que se compre una armadura.