Mobilsiden.dk  /   Nyhedsoversigt  /   Apple-udvikler fyret efter at have fundet en fejl

Apple-udvikler fyret efter at have fundet en fejl

Et medlem af Apples udviklerprogram er blevet fyret, efter han har afsløret huller i Apples iOS, som bruges til iPhone, iPad og iPod Touch.

Sikkerhedsforskeren Charlie Miller beviste, at man kunne placere skadeligt malware i applikationer i App Store. Det skriver comon.dk.

Til at starte med, så skulle man blot starte et harmløst program, hvis det var sat til at opdatere sig selv. Efter sikkerhedsgodkendelsen i App Store kunne man stadig omgå sikkerheden og installere et malwareprogram.

Charlie Millers eget forsøg med applikationen “InstaStock” betød, at Apple fyrede ham som medlem i udviklerprogrammet.

Hele sagen er startet med en historie i Forbes, hvor Miller selv fortalte om sikkerhedsbristen i iOS. Han fortalte, at man kunne tilføje usignerede koder til apps, der hentes fra tredjepartsservere efter programmet er godkendt og til salg i App Store.

Charlie Miller har overtrådt to konkrete punkter i udvikleraftalen, da han for det første har forstyrret Apples software og tjenester og for det andet hemmeligholdt funktioner i sin egen applikation.

Miller skriver i en email til Cnet:

-"Jeg tror ikke, de har gjort det før over for en anden forsker. Men så igen, ingen forsker har nogensinde kigget på sikkerheden i App Store. Og efter dette er der sikkert heller ingen, som vil gøre det. Det er den rigtigt kedelige konsekvens af deres beslutning."

Kommentar

x

Opret bruger
gielsgaard 09-11-2011 11:31:29

Hvad er det der gør at i konsekvent tror at Apple er dummere end andre ? de er et af verdens mest værdifulde selskaber som med garanti har nogle dygtige ledere og medarbejdere ,rygter er der en masse af hver gang der sker noget hos dem ,kunne det være at CM havde siddet og rodet med det her et stykke tid uden at informere videre ? Det ved jeg ikke og tror næppe andre end CM selv og Apple ved det rette sammenhæng ,er da sikker på at hvis Apple har fejlet her så går der ikke mange splitsekunder før de har en sag på nakken .

0 0
Schwartz 09-11-2011 11:52:22

Dit indlæg inspirer til en ny tankerække, det ku' jo også være et genialt marketingsstunt. Apple er ikke dummere, men man ku' sommetider mistænke dem for at være grådige ligesom så mange andre...

0 0
gielsgaard 09-11-2011 11:59:52

Ja grådige det er der vist ingen tvivl om :-)

0 0
Henrik 09-11-2011 10:22:11

Nejneeeej, det eksisterer ikke fejl i jesusPhonen :-p

0 0
Benjamin Jensen 08-11-2011 23:50:37

Hvis man ved bare en lille smule om sikkerhed i software, så ville man ikke komme med 2 så idiotiske indlæg.

Alt software er potentielt mål for malware. Men at udvikleren først fortæller det til et medie, før han fortæller Apple det, er bare et brud på aftalen om at man først fortæller virksomheden om det.

Sådan har det altid været, og selvfølgelig fyrer man folk for at råbe op om usikkerhed i et program, før Apple har haft en chance for at gøre noget ved problemet.

Der har jo indtil videre ikke været problemer med malware, men med hans åbentmundethed, så er der utvivlsomt nogle der vil forsøge sig.

Desuden så tror jeg ikke det vil blive et problem. For serverejeren skal vel give en form for tilladelse til at man tilføjer yderlige kode. Det er jo ikke muligt for menigmand at gøre det. Man kan nok godt regne med, at Apple opsiger aftalerne med dem, hvis det skulle ske.

0 0
N 09-11-2011 10:52:25

Det er da så sandelig ikke en selvfølge at fyre folk der råber op om usikkerhed... MS og andre ansætter ligefrem hackere for at gøre deres software mere sikker....

0 0
Schwartz 09-11-2011 08:30:59

Ach SO!

Her er lidt opsamling i forhold til at Charlie Miller var den anstændige part i denne sag:

http://www.engadget.com/2011/11/07/charlie-millers-latest-ios-hack-gets-into-the-app-store-gets-h/

Det fremgår at Charlie Miller advarede Apple 3 uger før han gjorde sit fund offentligt.

0 0
Benjamin Jensen 09-11-2011 15:17:06

Hvis det er korrekt, at de var blevet varskoet 3 uger før, så er det da langtfra nok.

Udviklere giver da producenterne en del længere tid til at udvikle patches. Et godt eksempel er f.eks. Adobe eller MS. Der er utallige sikkerhedshuller i flash softwaren, men også i Acrobat. 3 og 4 måneder er mange gange helt normalt. 3 uger er jo til grin - især taget i betragtning af, at MS kun kommer med patches til Windows 7, 1 gang om måneden. Ikke engang MS ville kunne udvikle noget på den korte tid.

At man så ligefrem smider en app ind, og prøver det af i appstore er direkte dumt!! Så beder man sgu selv om at få et spark i røven. Det ville alle andre virksomheder også gør.

Som jeg skrev før, så kræver det jo noget af udvikleren det her, og derfor får de heller ikke lang levetid, når Apple opdager det. Det fandt manden der troede han skulle blive berømt ud af.

0 0
Thomas 09-11-2011 15:59:17

Var jeg dig ville jeg træde varsomt her - du er ude, hvor du har svært ved at bunde.

Charlie Miller er ikke "manden, der troede han skulle blive berømt". Han er allerede berømt i IT-verdenen. At du ikke kender ham siger i mine øjne mere om dig end om ham. Især når du skriver, at hvis man "ved bare en lille smule om software-sikkerhed, så skriver man ikke to så idiotiske indlæg".. Ved man bare en lille smule om software-sikkerhed, så kender man også til Miller og hans præstationer.

Dernæst, så har vi ikke fået hele historien. Du har ret i at 3 uger ikke er meget, men det afhænger enormt meget af Apples reaktion.

Hvis, rent hypotetisk naturligvis, de har svaret, at der ikke er nogen fejl - eller endnu værre, slet ikke har svaret, så er det normal praksis at lave et proof of concept.

Har de derimod svaret, at de arbejder på et fix, så er det et skidt stunt han har lavet.

0 0
Benjamin Jensen 09-11-2011 16:14:04

Du må sørme undskylde min uvidenhed, men efter at have læst om manden, så husker jeg ham faktisk godt.

http://en.wikipedia.org/wiki/Charlie_Miller_(security_researcher)

Det er jo lidt skægt, for det er jo ikke bare en tilfældig udvikler, men en hacker der har sat sig for kun at finde fejl i Apples produkter. Så det vil nok være en overdrivelse at kalde ham for udvikler, selvom han har været medlem af deres udviklerprogram.

Man melder jo en fejl til et softwarefirma, og selvom man ikke har hørt fra dem i 3 uger, så offentligøre man ikke sådan noget, medmindre man gerne vil være berømt (eller berygtet). Uanset historien, så er der kun gået 3 uger, hvilket er latterligt, og det kan ikke på nogen måder bortforklares. Det er jo tydeligt hvad der er mandens ærinde - det burde du selv kunne se.

Også selvom du mener, at det er "præstationer" han har lavet ;)

0 0
Thomas 10-11-2011 08:35:01

Du mener ikke han er udvikler? Det er da noget vås, du har gang i nu. Først undskylder du for din uvidenhed, og nu påstår du så, at han ikke er udvikler.. Come on.

I øvrigt, så er det jo tydeligt for enhver, at du ikke ved hvad du snakker om. Se nedenfor i dit svar til Svend for uddybelse.

0 0
Svend Ole Nielsen 10-11-2011 00:53:42

Den med 3 uger holder sq ikke. Hvis man opdager et sikkerhedshul i noget software så reagerer man prompte. Herunder at takke manden og bede ham om at holde tæt. Og samarbejde. Alt andet vil være idioti. Om det så er sket fortæller historien vist ikke noget om. Basalt set kan det sammenlignes med at du får fortalt at dit forlys på bilen er i udu. Som tak knalder du ham ned og sparker ham i dadlerne.

0 0
Benjamin Jensen 10-11-2011 02:52:23

Sådan er virkeligheden ikke. Det er vel det de fleste misforstår.

Som regel er det sikkerhedsfirmaer der opdager disse fejl, og sender det så til udbyderen af softwaren.

MS har ladet huller været åbne i mange uger, og endda måneder. Vores browsere er fyldt med huller, som først bliver rettet hen ad vejen med nye opdateringer. Men hvis du tror det foregår fra uge til uge, så er du altså naiv.

CM har jo bare sat sig for at prøve at udnytte alle huller i Apples computere og software. Det er, som jeg før har skrevet kun for berømmelse, at han stiller op til diverse hackershows og vinder præmier for at hacke deres software!

0 0
Thomas 10-11-2011 08:38:18

"Sådan er virkeligheden ikke. Det er vel det de fleste misforstår. "

Sådan er virkeligheden netop. Det er det, du ikke forstår.

Selvfølgelig er der huller i software, det kan ikke undgås. Men du har åbenbart ikke læst, hvad der er blevet skrevet til dig. Der er ingen, der forlanger af Apple, at de skal rette fejlen og udgive fixet på 3 uger.
Men! De skal selvfølgelig arbejde sammen med CM for at rette fejlen - eller alternativt informere ham om, at de går igang med det samme.

Ignorerer de ham, så er det den helt rette approach han har valgt.

"Det er, som jeg før har skrevet kun for berømmelse, at han stiller op til diverse hackershows og vinder præmier for at hacke deres software!"

Det var ikke det du skrev. Du skrev, at han troede han skulle være berømt, fordi han havde fundet et hul i Apples software.

Det er fint, du måske har læst lidt om softwaresikkerhed på cultofmac.com eller hva ved jeg - men det skinner tydeligt igennem, at du ikke aner en kæft om det.

0 0
Benjamin Jensen 13-11-2011 23:18:36

Her har vi så beviset på, at det vist er dig der ikke aner hvad du snakker om lol!

http://www.zdnet.com/blog/security/questions-for-pwn2own-hacker-charlie-miller/2941

Vi tager et spørgsmål og et svar:

Did you consider reporting the vulnerability to Apple?

I never give up free bugs. I have a new campaign. It’s called NO MORE FREE BUGS. Vulnerabilities have a market value so it makes no sense to work hard to find a bug, write an exploit and then give it away. Apple pays people to do the same job so we know there’s value to this work. No more free bugs.

Dette drejer sig om buggen i Safari, men det er da en kompromitterende udtalelse at komme med. Jeg er i hvert fald ret sikker på, at denne hacker (hvilken han jo er), ikke har meddelt Apple om en skid!

Lige nu virker du en kende dum og påståelig Thomas. Måske fordi du får din viden på cultofidiots.com?

0 0
Thomas 06-02-2012 10:30:15

Som lovet:

Der er ingen her, der har skrevet, at Apple skulle fikse fejlen indenfor 3 uger, selvom du bliver ved med at køre rundt i det.

Jeg forstår godt du flytter målposterne for at forsvare Apple, for som skrevet tidligere, så er du ude hvor du ikke kan bunde.

At der er fejl i Safari, IE, Chrome osv. giver sig selv. At fejl tager tid at rette giver også sig selv. Jeg ved ikke hvorfor du nævner det konstant - er det for at fjerne fokus fra dine knapt så smarte udtalelser?

I øvrigt kender jeg ikke til cultofidiots.com. Det gør du, kan jeg se. Er det en side du administrerer?

0 0
Benjamin Jensen 06-02-2012 10:46:01

Okay, du svarer jo slet ikke på det jeg skrev. Men den er også svær at komme udenom.

Citat:Men! De skal selvfølgelig arbejde sammen med CM for at rette fejlen - eller alternativt informere ham om, at de går igang med det samme.
Citat slut!


Så skriver jeg som svar - et citat fra CM:

I never give up free bugs. I have a new campaign. It’s called NO MORE FREE BUGS. Vulnerabilities have a market value so it makes no sense to work hard to find a bug, write an exploit and then give it away. Apple pays people to do the same job so we know there’s value to this work. No more free bugs.

Hvordan kan man rette en bug, man ikke ved eksistere, men som man opdager hos Apple, når CM bruger den? Det er jo klart man fyrer sådan en mand fra udviklermiljøet.

Det er jo hele pointen, i hele diskussionen, som du ikke vil forholde dig til.

0 0
Thomas 06-02-2012 11:07:58

Jamen kære Benjamin dog.

Der står jo intet om, at han ikke har kontaktet Apple. Der står blot, at han ikke giver infoen væk uden beregning (han skal jo også leve). I øvrigt er dit citat 2 år gammelt.

Har du rent faktisk bevis på, at Apple intet vidste eller er det ren spekulation fra din side? Hidtil har du jo ikke præsteret andet end at snakke udenom og hive et gammelt citat frem, der ikke understøtter hvad du fabler om.

0 0
Benjamin Jensen 06-02-2012 11:25:03

Jo, det står ret tydeligt, hvis man har lidt intelligens, og kan læse imellem linierne.

Charlie Millers eget forsøg med applikationen “InstaStock” betød, at Apple fyrede ham som medlem i udviklerprogrammet.

Hvis man smider et program i App Store, for at teste om ens exploit virker, så har man netop ikke fortalt Apple noget om det.

Enten er du komplet idiot, eller også forsøger du med al mulig kraft at bortforklare hans udtalelser. Rent faktisk tror jeg ikke du er det første, men det er da pinligt, at man kan være så stædig.

Han lever ikke af at sælge exploits til Apple, men af at udbrede det til offentligheden. Han praler tydeligt med de konkurrencer han har vundet ved forskellige hacker konferencer. Nej, manden er bestemt ikke på Apples lønningsliste. At Apple så har folk til at finde svagheder ved deres system, er jo nok ikke så svært at forstå, men de arbejder sgu internt.

0 0
Thomas 06-02-2012 11:54:08

Fortsæt endelig din udenomssnak.

Du ved ikke, om CM har informeret Apple eller ej - længere er den egentlig ikke.

Kan du finde bevis for din påstand, så sig til, så kan vi tage den derfra. Og nej, dine fantasifulde tolkninger af 2 år gamle udtalelser er ikke et bevis, og det ved du forhåbentlig :)

0 0
Benjamin Jensen 06-02-2012 11:55:53

Jeg stiller et bevis på, at han ikke gør det, og så siger du det er 2 år gammelt. Det er dit forsvar?? Skal jeg finde noget der er 1 måned gammelt?

I øvrigt rettede Apple denne exploit ret hurtigt efter denne nyhed i 5.01 ;)

0 0
Thomas 06-02-2012 12:31:53

Det bliver ikke til et bevis, uanset hvor meget du forsøger at overbevise dig selv om det.

0 0
Benjamin Jensen 13-11-2011 23:05:14

Der var en sag fornylig, hvor et sikkerhedsfirma påpegede over 30 fejl mener jeg det var i flash, og stadig efter 3 måneder var de ikke rettet alle sammen.

Du forholder dig ikke til at de fejl der er i browsere, som også tager rigtig lang tid om at blive rettet. Eller at MS stadig kun udgiver opdatering 1 gang om måneden til Windows 7. Men svine mig til og sige, at jeg ikke fatter en brik - ja, det formår du.

Du fatter tydeligvis heller ikke, at CM ikke er sikkerhedsekspert, men en hacker der stiller op til hackerevents for at fremvise sin kunnen når det drejer sig om Apple.

Lige netop derfor er jeg påpeger, at det kun er for berømmelsens skyld. Det er sådan enhver hacker begår sig.

Han har med garanti først set om det kunne lade sig gøre at udnytte det, og derved kompromitteret sikkerheden. Det er jo ikke den rette fremgangsmåde, hvis man vil beholde sit job som udvikler.

0 0
Benjamin Jensen 09-11-2011 16:15:35

Skulle have været dette link:

http://en.wikipedia.org/wiki/Charlie_Miller_(security_researcher)

0 0
N 09-11-2011 15:53:21

Hvordan skal manden påvise at der er et hul i deres sikkerhed, hvis han ikke beviser det ? Og nej andre virksomheder ville skynde sig at ansætte manden til at teste sikkerheden. Det er jo netop sådan nogen som ham, de skal bruge til at lappe "huller".

Og til sidst....Apple fandt jo netop ikke en skid. Hvis han havde været ondsindet, havde der jo pludseligt været et totalt åbent hul i app store.

0 0
Schwartz 09-11-2011 06:04:07

Ach So!

Ikke helt enig der. Nu er det sådan at Charlie Miller efter sigende skulle have nævnt problemet for Apple før han gik i medierne. Så i min bog sidder Apple med et troværdighedsproblem. Hvis man som ærlig udvikler, der vil forbedre sikkerheden, ikke kan tro på at man bliver taget seriøst når man henvender sig, er der jo ingen der tør sige noget. Minder lidt om en diktaturstat med censur, og represalier mod anderledes tænkende eller ?

0 0
Kokomo 08-11-2011 23:27:11

Apple er bare sådan et godhjertet firma. Finder du en fejl i deres produkter, så er det ud!

0 0
Karim 08-11-2011 21:08:07

så er man ikke mere sikker i ios end på Android og MS

0 0
x
Om brug af cookies