Apple bane desenvolvedor que descobriu uma falha grave de segurança no iOS 5!
Não conheço as cláusulas presentes no EULA (end user license agreement) que regulamenta o programa de desenvolvedores para iOS (iOS Dev Program) e muito menos as políticas de propriedade da Apple relacionadas a pesquisas de segurança feitas no S.O móvel da empresa, mas geralmente quando alguém descobre uma falha grave de segurança em um sistema, a empresa dona deste tende a corrigir a falha e a agradecer o desenvolvedor que fez a descoberta. No entanto, parece que com a Apple as coisas funcionam um pouco diferente.
O hacker Charles Miller descobriu um jeito de fazer o Safari para iOS rodar códigos não autorizados em qualquer dispositivo iOS através da instalação de um aplicativo baixado diretamente da App Store. Muitos devem saber que a Apple é deveras criteriosa na análise do código de um aplicativo submetido à App Store, mas a falha de segurança que Charles apontou permite que os códigos não autorizados sejam executados depois do aplicativo já ter sido aprovado e validado pela equipe da Apple, ou seja, a falha é mais grave do que se imaginava. O hacker publicou um aplicativo na App Store e criou um vídeo onde ele explora a referida falha de segurança e demonstra, na prática, o processo de execução de códigos não autorizados em um iGadget; vídeo esse que pode ser conferido a seguir:
O aplicativo criado por Charles permite o exploit de uma "Exception" do JavaScript no Safari Mobile e essa "Exception" possibilita o download de códigos maliciosos. O prêmio pela descoberta? O banimento da sua conta de desenvolvedor no iOS Dev Program e a remoção do aplicativo de teste da App Store. Digamos que ele ficou um pouco "irritado" com a Apple e decidiu mostrar seu descontentamento no Twitter:
Abaixo segue a carta enviada pela Apple
Acredito que a Apple pisou na bola desta vez, pois não é certo tratar mal quem tenta te ajudar.
[Fonte: Gizmodo, MacMagazine]
O hacker Charles Miller descobriu um jeito de fazer o Safari para iOS rodar códigos não autorizados em qualquer dispositivo iOS através da instalação de um aplicativo baixado diretamente da App Store. Muitos devem saber que a Apple é deveras criteriosa na análise do código de um aplicativo submetido à App Store, mas a falha de segurança que Charles apontou permite que os códigos não autorizados sejam executados depois do aplicativo já ter sido aprovado e validado pela equipe da Apple, ou seja, a falha é mais grave do que se imaginava. O hacker publicou um aplicativo na App Store e criou um vídeo onde ele explora a referida falha de segurança e demonstra, na prática, o processo de execução de códigos não autorizados em um iGadget; vídeo esse que pode ser conferido a seguir:
O aplicativo criado por Charles permite o exploit de uma "Exception" do JavaScript no Safari Mobile e essa "Exception" possibilita o download de códigos maliciosos. O prêmio pela descoberta? O banimento da sua conta de desenvolvedor no iOS Dev Program e a remoção do aplicativo de teste da App Store. Digamos que ele ficou um pouco "irritado" com a Apple e decidiu mostrar seu descontentamento no Twitter:
Abaixo segue a carta enviada pela Apple
Dear Charles Miller:
This letter serves as notice of termination of the iOS Developer Program License Agreement (the “iDP Agreement”) and the Registered Apple Developer Agreement (the “Registered Developer Agreement”) between you and Apple, effective immediately.
Pursuant to Section 3.2(f) of the iDP Agreement, you agreed that you would not “commit any act intended to interfere with the Apple Software or related services, the intent of this Agreement, or Apple’s business practices including, but not limited to, taking actions that may hinder the performance or intended use of the App Store or the Program”. Further, pursuant to Section 6.1 of the iDP Agreement, you further agree that “you will not attempt to hide, misrepresent or obscure any features, content, services or functionality in Your submitted Applications from Apple’s review or otherwise hinder Apple from being able to fully review such Applications.” Apple has good reason to believe that you violated this Section by intentionally submitting an App that behaves in a manner different from its intended use.
Apple may terminate your status as a Registered Apple Developer at any time in its sole discretion and may terminate you upon notice under the iDP Agreement for dishonest and misleading acts relating to that agreement. We would like to remind you of your obligations with regard to all software and other confidential information that you obtained from Apple as a Registered Apple Developer and under the iDP Agreement. You must promptly cease all use of and destroy such materials and comply with all the other termination obligations set forth in Section 12.3 of the iDP Agreement and Section 8 of the Registered Developer Agreement.
This letter is not intended to be a complete statement of the facts regarding this matter, and nothing in this letter should be construed as a waiver of any rights or remedies Apple may have, all of which are hereby reserved. Finally, please note that we will deny your reapplication to the iOS Developer Program for at least a year considering the nature of your acts.
Sincerely, Apple Inc.
Acredito que a Apple pisou na bola desta vez, pois não é certo tratar mal quem tenta te ajudar.
[Fonte: Gizmodo, MacMagazine]
No comments