iPhone-bug laat ontwikkelaars willekeurige code uitvoeren

Ontwikkelaar Patrick Collison heeft een mogelijkheid ontdekt om willekeurige code te laten uitvoeren tijdens het laden van een iPhone-applicatie. Die code hoeft niet gesigneerd te zijn.
Gonny van der Zwaag | iCulture.nl -

iphone beveiligingEr is een bug ontdekt in de iPhone waarmee ontwikkelaars willekeurige code vanuit hun applicatie kunnen updaten en uitvoeren. Het goede nieuws is dat ontwikkelaars hun applicaties razendsnel kunnen aanpassen als ze een ernstige fout hebben ontdekt, zonder op het goedkeuringsproces van de App Store te moeten wachten. Maar de exploit kan ook met kwade bedoelingen gebruikt worden. Het gaat erom, dat bij het opstarten van een iPhone applicatie kort een afbeelding met de naam Default.png wordt getoond, terwijl de applicatie op de achtergrond aan het laden is. Applicaties die Apple zelf heeft ontwikkeld kunnen een dynamische afbeelding gebruiken, zodat het bijvoorbeeld datum en tijd of andere info kan tonen tijdens het laden.


Externe ontwikkelaars zitten met een statische Default.png opgescheept, die niet meer te veranderen is. Maar ontwikkelaar Patrick Collison vond een workaround waarbij code niet meer gesigneerd hoeft te zijn en ontwikkelaars ook dynamische opstartplaatjes kunnen tonen. De iPhone denkt dat de code die aan het laden is uit een vertrouwde bron komt. De applicaties die op dit moment in de App Store te vinden zijn, zullen de exploit nog niet gebruiken en als Apple het goedkeuringsproces voor de App Store vanaf nu wat beter aanpakt en op het gebruik van deze exploit controleert, is er niets aan de hand.

Op de blog van de ontwikkelaar is een filmpje te zien.

Meer info: Blog Patrick Collison via Techcrunch

Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt
12 november 2008 om 9:49
Onderwerp
Categorie
Achtergrond

Reacties: 11 reacties

  1. maakt mij niet uit als het niet beweegt. Maar sommige spelllen duren veel te lang om te laden. Doe wat aan de laadtijd.

  2. Origineel geplaatst door sebas
    maakt mij niet uit als het niet beweegt. Maar sommige spelllen duren veel te lang om te laden. Doe wat aan de laadtijd.

    Je bent niet vergeten dat je een telefoon in je handen hebt en geen PSP of een DS? Normale applicaties laden prima.

  3. Sebas formuleert het wat ongelukkig. Hij wacht in spanning af op het moment dat de iPhone van een Nvidia-chip zal worden voorzien. Alles op z’n tijd. Mensen vergeten soms wel even waartoe de iPhone al WEL in staat is. Ik voel me nog steeds verwend met deze alleskunner. Het wachten is op TomTom gerelateerde software.

  4. http://pliep.nl/blog/2008/11/iphone_lek_ondermijnt_veiligheid_app_store

  5. Inderdaad stef, dit bericht is volgens mij ook wat overdreven gebracht. De lek is maar zeer minimaal en je kunt alleen een dynamisch gegenereerd opstartscherm laten zien ipv een statische. No big deal lijkt mij.

  6. Het goede nieuws is dat ontwikkelaars hun applicaties razendsnel kunnen aanpassen als ze een ernstige fout hebben ontdekt, zonder op het goedkeuringsproces van de App Store te moeten wachten.

    Broodje aap verhaal…

  7. Kunnen jullie de titel van dit bericht aanpassen, want dit is echt onzin volgens mij. Of zet het tussen aanhalingstekens zodat het duidelijk een quote van iemand anders is. Dit gaat ten koste van jullie geloofwaardigheid.

  8. Origineel geplaatst door Bas
    Sebas formuleert het wat ongelukkig. Hij wacht in spanning af op het moment dat de iPhone van een Nvidia-chip zal worden voorzien. Alles op z’n tijd. Mensen vergeten soms wel even waartoe de iPhone al WEL in staat is. Ik voel me nog steeds verwend met deze alleskunner. Het wachten is op TomTom gerelateerde software.

    Helemaal mee eens…
    Als het je louter om de laadtijd van een spelletje gaat, en dat iets is wat je 10x per dag irriteerd: Koop dan lekker een PSP oid.

    Ik verbaas me iedere dag nog over hoe briljant mooi en snel dit apparaat is met zijn 100en functies.

  9. Er staat inderdaad weinig in dit verhaal dat iets met de realiteit heeft te maken.

  10. Ja je kan symlinken naar een document maar het blijft allemaal binnen de beveiligde geheugenpartitie / sandbox.
    –> niks aan de hand dus ik snurk rustig door.