После того как была обнаружена “дыра” в новой версии операционной системы iOS, Apple исключили из группы программистов, отвечающих за разработку мобильного ПО, Чарли Миллера, одного из ведущих специалистов в области безопасности.

Сегодня во второй половине дня Миллер написал в своем твиттере: “OMG! Apple только что отстранили меня от работы с iOS. Как грубо!”

Сегодня Энди Гринберг, журналист из Forbes, опубликовал историю с участием Миллера, который специализируется на безопасности продуктов Apple. Последним открытием Миллера стала “дыра” в системе безопасности iOS, которая позволяла приложениям использовать непроверенный код с серверов сторонних разработчиков, которые могут быть добавлены в приложение даже после того, как оно прошло проверку в App Store.

Для того чтобы проверить этот эксплоит, Миллер создал специальное тестовое приложение, названное InstaStock, которое может подключиться к его собственному серверу и передать небольшую часть кода – все это было сделано исключительно в интересах тестирования. Как известно, такое вмешательство разработчиков приложений в работу Apple и App Store запрещено.

И, как заявили Apple в своем письме Миллеру (письмо прилагается к статье), он нарушил разделы 3.2 и 6.1 в Apple Developer Program License Agreement. Данное соглашение распространяется на все программы и сервисы, которые связаны с продукцией Apple. Кроме того, Apple утверждают, что Миллер скрыл факт того, что создал приложение InstaShock, пуская и в целях тестирования.

“Скорее всего, они больше не поступят так с другими специалистами. Опять же, ни один другой специалист по безопасности не заглядывал в App Store”, сказал Миллер. “И после этого инцидента, вряд ли кто-нибудь захочет заниматься этим в будущем. На мой взгляд, это не самое удачное решение Apple”.

Миллер подчеркнул многочисленные недостатки в системе безопасности программного обеспечения Apple, одним из самых известных является хак, обнаруженный в 20og году в мобильной версии Safari (сразу после релиза первого iPhone). Этот хак был использован на конкурсе Pwn2Own, в частности, с помощью него специалисты получили контроль над системой Mac через встроенный браузер Safari. Совсем недавно Миллер заявил, что низкоуровневое программное обеспечение, установленное на всех моделях аккумуляторов Apple, защищено двумя простыми паролями. Теоретически, если злоумышленники узнают эти пароли, то они смогут в любое время выключить устройство через панель администратора.

Миллер заявил, что Apple ограничивают своих специалистов и что он поплатился за свое желание улучшить безопасность компании.

Вот письмо Apple, отправленное Миллеру:

От: appledevnotice@apple.com

Тема: Уведомление об отстранении

Дата:og ноября 2011,avav9:av

Кому: [отредактировано]

Уважаемый Чарльз Миллер

Это письмо является уведомлением о том, что действие соглашения iOS Developer Program License Agreement (сокращенно “iDP Agreement”) и Registration Apple Developer Agreement между вами и Apple прекращено. Данное уведомление вступает в силу немедленно.

В соответствии с разделом 3.2 iDP Agreement, вы согласились “не осуществлять какие-либо действия, направленные на вмешательство в программное обеспечение Apple и сопутствующие услуги, или каким-либо другим способом мешать эффективной работе App Store или других приложений”. Кроме того, в соответствии с пунктом 6.1 iDP Agreement, вы согласились что “не будете скрывать, искажать или умалчивать о каких-либо функциях, контенте или услугах которые представлены в вашем приложении для App Store”. Apple имеют все основания предполагать, что вы намеренно нарушили эти пункты, выпустив приложение, которое скрывает свое основное предназначение.

Apple могут вычеркнуть вас из списка зарегистрированных разработчиков программного обеспечения в любое время по своему усмотрению, если вы нарушили какой-либо пункт данного соглашения. Мы хотели бы напомнить вам о ваших обязанностях по отношению ко всему программному обеспечению и любой другой конфиденциальной информации, которую вы получили от Apple. Вы должны немедленно прекратить использование и уничтожить все материалы, которые указаны в разделе 12.3 iDP Agreement и разделе 8 Registered Developer Agreement.

Это письмо не предназначено для полного изложения всех фактов, касающихся данного вопроса. Ничего из этого письма нельзя истолковывать как отказ Apple от каких-либо прав или обязанностей. И наконец, обратите внимание на то, что мы откажем вам в повторном прошении на вступление в ряды разработчиков iOS приложений, по крайней мере, в течение года, учитывая характер ваших действий.

Tagged with:
 
About The Author

Anonymous

Добавить комментарий