Charlie Miller

Charlie Miller fue el primero en publicar un exploit remoto para iPhone y ganó varias ediciones de la Pwn2Own con sus exploits para iPhone y Mac OS X. Escribió el libro Mac Hacker’s Handbook junto a Dino Dai Zovi, y ha sido uno de lo investigadores de seguridad que seguro que más problemas de cabeza a dado a Apple, como vimos en la entrevista que publicamos de Hackers contra Apple, y con la última famosa charla de BlackHat de este año donde hackeó el software de las baterías de los Mac.

Ahora acaba de ser expulsado del programa de desarrolladores de aplicaciones para iOS por violación de las condiciones del contrato en la App Store, tal y como explica Dan Goodin en The Register. ¿Por qué? ¿Qué fue lo que hizo?

Charlie Miller subió una aplicación a la App Store llamada InstaStock, que pretendía ser una tool para mostrar en tiempo real el precio de las acciones de la bolsa, algo totalmente aceptado dentro de las condiciones de la App Store, y que por tanto fue aprobada para su distribución.

Sin embargo, lo que realmente hacía esta aplicación era demostrar que había un fallo de seguridad que se introdujo en la versión iOS 4.3 por el que, por motivos de mejora de rendimiento de Apple Safari, se añadió un pequeño espacio en el dispositivo en el que ejecutar código no firmado por Apple. Charlie Miller descubrió la forma de romper la protección de firmado de código, haciendo uso de esa característica, y acceder a todas las partes del dispositivo.

Hay que tener en cuenta que las credenciales de administrador de un terminal con iOS son conocidas, y que la única barrera entre una aplicación publicada en la App Store y toda la información que haya en tu terminal es que Apple haya firmado sólo código no nocivo.

Fuente: http://www.seguridadapple.com/2011/11/charlie-miller-demuestra-que-la-app.html

Rifado el vato no¿?

Charlie Miller

2 pensamientos en “Charlie Miller

  • 8 noviembre, 2011 a las 9:39 PM
    Permalink

    Excelente artículo el video lo entendí un 65% xD , pero el texto muy bueno, deberían de pagarle a ese tipo, «Hack like a champion today» <– rules! <3 Meterpreter <3 xD

    Responder

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *