iPhone-bug laat ontwikkelaars willekeurige code uitvoeren

Ontwikkelaar Patrick Collison heeft een mogelijkheid ontdekt om willekeurige code te laten uitvoeren tijdens het laden van een iPhone-applicatie. Die code hoeft niet gesigneerd te zijn.

iphone beveiligingEr is een bug ontdekt in de iPhone waarmee ontwikkelaars willekeurige code vanuit hun applicatie kunnen updaten en uitvoeren. Het goede nieuws is dat ontwikkelaars hun applicaties razendsnel kunnen aanpassen als ze een ernstige fout hebben ontdekt, zonder op het goedkeuringsproces van de App Store te moeten wachten. Maar de exploit kan ook met kwade bedoelingen gebruikt worden. Het gaat erom, dat bij het opstarten van een iPhone applicatie kort een afbeelding met de naam Default.png wordt getoond, terwijl de applicatie op de achtergrond aan het laden is. Applicaties die Apple zelf heeft ontwikkeld kunnen een dynamische afbeelding gebruiken, zodat het bijvoorbeeld datum en tijd of andere info kan tonen tijdens het laden.


Externe ontwikkelaars zitten met een statische Default.png opgescheept, die niet meer te veranderen is. Maar ontwikkelaar Patrick Collison vond een workaround waarbij code niet meer gesigneerd hoeft te zijn en ontwikkelaars ook dynamische opstartplaatjes kunnen tonen. De iPhone denkt dat de code die aan het laden is uit een vertrouwde bron komt. De applicaties die op dit moment in de App Store te vinden zijn, zullen de exploit nog niet gebruiken en als Apple het goedkeuringsproces voor de App Store vanaf nu wat beter aanpakt en op het gebruik van deze exploit controleert, is er niets aan de hand.

Op de blog van de ontwikkelaar is een filmpje te zien.

Meer info: Blog Patrick Collison via Techcrunch

Informatie

Laatst bijgewerkt
12 november 2008 om 9:49
Onderwerp
Categorie
Achtergrond

Reacties: 11 reacties

Reacties zijn gesloten voor dit artikel.