Charlie Miller è il noto hacker ed anche un esperto di sicurezza che ha fatto venire a galla uno dei difetti di iOS. E’ riuscito infatti a trovare un modo per bypassare il sistema di controllo delle applicazioni in fase di approvazione da parte di Apple. Questo metodo permetterebbe così, anche con App comuni ed apparentemente innocue, di rubare dati dall’ignaro utente.
Charlie Miller ha spiegato che, il sistema di approvazione delle App blocca automaticamente quelle applicazioni, che richiamano comandi che manipolano la memoria di iOS, o che comunque svolgano determinate attività irregolari o che abbiano contenuti non accettabili.
Il “motore” Java Script Nitro, presente in iOS dalla versione 4.3, consentirebbe però di sorpassare questo ostacolo mascherando i comandi fuorilegge in parti più profonde della programmazione dove il sistema di approvazione non è in grado di controllare.
Come dimostrazione pratica della teoria esposta, Miller ha creato un’applicazione chiamata “Instastock” e l’ha inviata ad Apple per l’approvazione. L’App, come da lui spiegato, ha superato i controlli ed è finita regolarmente sull’App Store insieme a chissà quante altre irregolari come lei. Il programma, in apparenza un widget per seguire le borsa, era in grado di eseguire comandi per recuperare dati dalla rubrica indirizzi, inviare file a un server o attivare funzioni come la vibrazione.
L‘App è stata successivamente rimossa, mentre Miller è stato bannato dall’App Store e dall’OS Developer Program. L’hacker non ha comunque pubblicato la falla, permettendo ad Apple di creare un rapido aggiornamento che risolvesse il problema. Nonostante questo il ban è rimasto e Miller ha annunciato che renderà pubbliche le modalità per lo sfruttamento della falla in una conferenza di SysCan che si svolgerà la prossima settimana a Taiwan.