Представлена демо-версия уязвимости в безопасности устройств на iOS через приложение в App Store

Ранее считалось, что Apple очень тщательно следит за приложениями для iOS, доступными для скачивания в App Store Apple, и никакой вредоносный код не может проникнуть в устройства. Приложения не становятся доступными для загрузки без предварительного одобрения компанией, поэтому многие думают, что вирусы не проникают в устройства. Действительно, шансы получить вредоносный код через приложение низки, но исключать эту возможность нельзя. Форбс сообщает, что один из исследователей в области компьютерной безопасности опубликовал достаточно милое и безвредное на первый взгляд приложение, фактически содержащее возможность выполнения на устройстве несанкционированного кода.

Имя этого хакера — Чарли Миллер, и он специализируется на исследовании безопасности в Mac. Ранее Миллер обнаружил несколько существенных уязвимостей на платформах Apple, включая дефект в iPhone, распространяющийся через SMS.

Новое открытие Миллера связано с запуском кода JavaScript в новейших версиях iOS. Миллер нашел уязвимость, позволяющую запустить произвольный код.

Продемонстрировать эту возможность ему удалось благодаря запуску приложения InstaStock в App Store. Загрузка его пользователями позволяла хакеру получить доступ к устройствам, так как запуск приложения соединял пользователей с сервером Миллера, что обеспечивало ему доступ к аппаратным функциям устройства и его данным.

Apple одобрила приложение еще в сентябре, но лишь на этой неделе Миллер похвастался видео, представляющим процесс использования уязвимости.

В ответ на это Apple быстро удалила приложение из App Store и забрала у Миллера права разработчика на год.

На следующей неделе на конференции по безопасности SysCan в Тайвани Миллер планирует продемонстрировать точную причину и характер этой уязвимости.

Источник: macworld.com