既然蘋果不愛查理,微軟給個親親不過份吧?
來源:The Verge;Forbes;圖片來源:老人與蘋果
Charlie Miller 這位以戳蘋果軟體漏洞為樂的高手,最近卻踢到了一大塊鐵板;他在網路上示範 iOS 當中一項新的漏洞後,由於手段太過於「直接」,導致自己的軟體開發者身分遭到除名,但人間總是充滿溫暖,很快就有人來跟他獻殷勤。
這次揭露的 iOS 漏洞,原本只是用來讓 Safari 執行能夠更快所開的小後門,也就是在 iOS 4.3 後讓 Safari 能夠跳過 iOS 的簽署機制(code signing),來在記憶體中執行某些 Javascript 的回事;原本蘋果可以限制 Safari 瀏覽器以外的軟體走後門,不過 Charlie Miller 卻發現了讓其他軟體也可以走後門的漏洞,細節將會在本週進行的 SyScan(也就是 17-18 在台北舉辦的資安技術年會)上面公布,也算是給蘋果足夠的時間來反應(據說 Charlie Miller 在三週前就已經把問題提交給蘋果處理)。
然而他本人大概是有點手癢,提前公布了透過該漏洞(但是沒說該漏洞到底是啥)讓一般看似無害的 iOS 軟體走後門能幹的一些壞事,但是他卻拿了自己撰寫、上傳,同時還通過審核的 iOS App 來示範,想當然爾,蘋果一看到示範影片就立刻把該軟體下架,畢竟雖然能夠瞞過 iOS App Store 審查,但只要做出影片中示範的行為,已經是違反了 App Store 的相關規定,該軟體也跟一般的 Malware 無異,只不過 Charlie Miller 大概沒想到蘋果這次會做出更嚴厲的懲罰 -- 直接把他的開發者資格取消。
當然大部分的人看到 Charlie Miller 這樣玩,指責的音量目前是大於挖漏洞的讚揚,畢竟他原先其實可以選擇比較間接(一些讓開發者測試的管道),而不需要把有問題的軟體上傳到 App Store 讓大家下載。
至於是誰在寒冬中送暖呢?答案是微軟家 Windows 開發者公關團隊的 Brandon Watson,立刻就將 Windows Phone 的開發者資格奉上,但 Charlie Miller 有沒有接受咱們就不得而知了。
以下為 Charlie Miller 的示範影片,如果有朋友要參與下禮拜的 SyScan,或許可以替咱們探尋一下這件事情的後續,現場他本人應該也會跟大家分享才是。