Fraråder butikkene å selge Android

[Orjanp]

Trist at Miller valgte å bryte retningslinjene på den måten han gjorde, og deretter skryte av det offentlig, ja...Apple hadde dermed neppe noe valg, dersom de vil gi inntrykk av at alle behandles likt ift. slike overtramp.

Vil tro at Miller, med sitt rykte som "superhacker" lett kunne kommunisert dette til Apple på en litt mindre oppsiktsvekkende (og ulovlig) måte - men det ville jo ikke gitt samme PR-verdi for ham...

 

Det som virkelig er trist, er at forbrukere faktisk forsvarer Apples fremgangsmåte i denne saken.

 

Men ikke overraskende. Menigheten vil alltid forsvare Apple uansett hvor mange kameler de må svelge.

[Newton]

1: Han har ikke gjor noe ulovlig.

2: Han har sagt i fra til Apple, og til og med allerede utsatt offentligjøringen av fremgangsmåten en gang for å gi Apple MER tid til å fikse problemet.

3: Han varslet em om programmet selv også.

 

Hva tror du hadde skjedd om han ikke hadde lagt inn denne applikasjonen i AppStore? MS hadde hevdet at dette var en utelukkende teoretisk mulighet, fordi d har gå "god kontroll" på AppStore, enda det er godt kjent at det er ubrukelig som sikkerhetsmekanisme.

 

Dette handler kke om at han brøt regler, det handler om at Apple forventer at alle som gjør dem en gratistejenste ved å teste produktene deres skal gjøre det stille og i all hemmelighet, så de slipper å oppleve negatv omtale i media.

1. Helt klart ulovlig i forhold til retningslinjene i App Store, jo.

 

2. Miller sa etter eget utsagn fra til Apple om denne feilen den 14. oktober. Har ikke sett noe som tyder på at han har utsatt noen offentliggjøring allerede, planen var hele tiden å offentliggjøre dette under SysCan konferansen i neste uke - derav timingen på artikkel med "avsløringen" i Forbes:

http://www.forbes.com/sites/andygreenberg/2011/11/07/iphone-security-bug-lets-innocent-looking-apps-go-bad/

 

3. Det er ingen ting som tyder på at han sa fra til Apple om programmet - det ble fjernet etter publiseringen av artikkelen i Forbes nå på mandag, der Miller fortalte om sin exploit-kode som han hadde lurt inn i App Store og ville presentere på SysCan. Denne artikkelen ble selvsagt ikke publisert tilfeldig, men åpenbart som et ledd i Millers mediastrategi.

 

 

Bugfix som lukket dette hullet kom ut i går, med iOS 5.0.1, og det vil si at Apple hadde lokalisert og tettet hullet i forrige uke, da iOS 5.0.1 beta 1 og 2 ble sendt ut for testing blant utviklere. Det vil si at Apple lokaliserte, fikset og interntestet feil på kernel-nivå i løpet av ca to uker, deretter beta-testet de med tredjepartsutviklere i vel en uke, før feilrettingen ble distribuert til millioner av iOS 5-brukere. Rimelig kjapt, altså.

 

Hva jeg tror hadde skjedd om Miller ikke hadde tatt seg til rette gjennom et helt unødvendig brudd på retningslinjene, vel vitende om hva som ville blir de sannsynlige konsekvensene, for å skape mest mulig blest om seg selv? Jo, Apple hadde fikset feilen, kreditert Miller (slik de faktisk har gjort), og sluppet feilfiksen med iOS 5.0.1 (slik de faktisk har gjort). Det er ingen ting hemmelig med feilfiksingen og rapporteringen til Apple, det står der listet opp svart på hvitt med CVE-ID og kreditering, hver eneste gang - media står helt fritt til å skrive om dette, og mange publikasjoner gjør det, men tabloide media gidder selvsagt ikke å skrive om det med mindre det har et snev av skandale eller sensasjon over seg....

Om du leser "About the security content of iOS 5.0.1 Software Update" så vil du se at det er tre andre sikkerhetsfeil som er innrapportert av uavhengige kilder, som er behørig kreditert - og som har blitt fikset og publisert uten at det har vært nødvendig med et jævla mediasirkus slik Miller gang på gang gjør for å selge seg og sitt firma.

 

Miller gjør ikke dette bare for å "være snill", det han driver med er et spill for galleriet, som nok en gang gir full uttelling i form av ren gratisreklame med oppslag i media over hele verden. Mannen er en genial hacker, uten tvil, men den "hvite hatten" er full av slike tegn: $ $ $ $ $. Greit nok det, men jeg ser ingen grunn til å framstille PR-stunt og hemningsløs show-off som noe annet enn det det er.

 

Men OK, Miller fikk nøyaktig det han var ute etter, nok en gang - og han er nok tilbake og drar nye kaniner opp av hatten neste år, når han er ferdig med å spille intetanende, uskyldig offer...

 

Min sympati og beundring går til Erling Ellingsen hos Facebook, som denne gangen knekte to bugs i iOS 5 - noen burde skrevet en artikkel om Erling Ellingsen - bra jobbet Erling!

[Newton]

Altså. Først og fremst så var eneste måten å kunne påbevise sikkerhetshullet å faktisk bryte retningslinjene. Apples retingslinjer sier jo i praksis at «du får ikke lov å laste opp noe som påviser et sikkerhetshull». At man har med slikt i retningslinjene er naturlig, da det gjør det lettere å «straffe» folk som potensielt utnytter sikkerhetshull til egen vinning.

 

Miller har da ikke gjort noe feil. For å kunne påvise sikkerhetshullet måtte han bryte retningslinjene. Så og si alt av det som oppdages av sikkerhetshull noen steder gjøres ved å gjøëe noe som «bryter retningslinjene».

 

Eneste Miller kanskje kunne gjort annerledes var å informere Apple i det stille i etterkant, men det later til å være veldig feil, for da ville nemlig folk hatt sikkerhetshull på sine telefoner, fordi de hadde lastet ned applikasjonen hans. Ved å offentliggjøre det så vet «verden» å kvitte seg med applikasjonen.

 

Miller har fulgt helt vanlige spilleregler for avsløring av sikkerhetshull (deriblant informert firmaet og gitt dem en god sjanse til å fikse hullet før han evt. forteller hvordan hullet fungerer og kan utnyttes offentlig). At Apple ikke ønsker å følge de sedvanlige spillereglene for slikt, sier noe om Apple, ikke om Miller.

Nei, jeg er helt sikker på at sikkerhetshullet i iOS 5 enkelt kunne påvises uten å bryte retningslinjene. Selve exploit-koden i appen ville vært såre enkel å teste ut gjennom privat ("Ad Hoc") distribusjon, uten å legge den ut offentlig i App Store - man kan bruke nøyaktig samme build, med samme kodesignering. Da gjenstår kun det faktum at Apples godkjenningsprosess ikke fanget opp den skjulte og potensielt skadelige koden. Dette kunne Miller ganske enkelt kontaktet Apple om på forhånd, og testet ut det hele i samarbeid med Apple - det ville vært nok at riktig person i Apple samarbeidet med Miller, at Miller sendte appen inn til godkjenning uten at de som utførte godkjenningsprosedyren kjente til "fellen", og at appen ble luket ut straks av Millers "medsammensvorne" i Apple dersom den slapp igjennom godkjenningen.

 

Ettersom Miller er en av en relativt eksklusiv gruppe sikkerhetseksperter som tidligere i år ble spesielt invitert til å sikkerhetsteste OS X Lion, så har han åpenbart både kredibilitet og direkte kontaktmuligheter inn til Apples OS-utviklere, så er jeg rimelig sikker på at han enkelt ville fått gehør for sine bekymringer og kunne testet ut dette på lovlig måte.

 

Å distribuere exploit-kode til intetanende, vanlige brukere gjennom App Store, selv om koden er aldri så "harmløs", er totalt uakseptabelt uansett hvordan man enn snur og vender på det. Det eneste akseptable ville være å informere Apple i forkant, og blitt enige om en prosedyre.

 

Miller har fulgt noen av spillereglene, ved å informere Apple om en alvorlig feil. Han har ikke fulgt spillereglene når han har distribuert kode som kan utnytte denne feilen, gjennom App Store - og han er heller ikke hevet over reglene som gjelder der.

 

Apple har fulgt alle spilleregler: Feilen er registrert, kartlagt, fikset og feilretting interntestet i løpet av ca to uker, feilrettingene i kernel er beta-testet i vel én uke, og deretter distribuert til sluttbrukerne. Apple har kreditert Miller på korrekt måte, for å ha funnet feilen, og Apple har gitt Miller en forventet og korrekt reaksjon for alvorlige brudd på retningslinjene i "iOS Developer Program License Agreement".

At Miller ikke ønsker å følge spillereglene, men heller drar ett av sine velkjente PR-stunt sier også en god del...han har dermed utnyttet dette sikkerhetshullet for egen vinning så det holder....

 

 

Edit: Nå ser jeg også at Millers video som demonstrerer sikkerhetsbristen/exploiten ble

, altså tre uker før Miller etter eget utsagn varslet Apple (den 14. oktober). Den 23. september var altså Millers "InstaStock" offentlig tilgjengelig på App Store, og denne skjulte exploit-bomben lå der i mer enn 6 uker og kan ha blitt lastet ned av tusenvis av intetanende brukere, før den endelig ble fjernet som følge av at Miller kjørte sitt PR-stunt i Forbes den 7. november, og Apple (tilfeldigvis) fikk rede på det. At han med vitende og vilje lot dette ligge ute så mange uker, burde i alle fall forklare utestengelsen av Miller fra Apples utviklerprogram - det gikk milevis ut over det som var nødvendig, selv for å bevise et "proof-of-concept". Endret 12. november 2011 av Newton

[Newton]

Det eneste som skjer er jo at Apple rettmessig blir sett på som vanskelige. Nå får jo Miller ekstra med PR fordi han ble utestengt, så det virker i så fall også mot sin hensikt.

Apple blir uten tvil sett på som vanskelige av mange - men her er de jo faktisk også rettferdige, da de sier: "bryter du retningslinjene så tar du konsekvensene, uansett hvem du er."

 

Med å oppsøke en journalist i Forbes og gå offentlig ut med at han har plantet exploit-kode i App Store har Miller allerede skaffet seg all verdens publisitet. For Apple ville det være negative konsekvenser enten de hadde forskjellsbehandlet eller likebehandlet Miller ift. hvilke konsekvenser andre har måttet ta for lignende ulovligheter - men de sender i dette tilfellet ut et relativt kraftig signal om at man ikke kødder med App Store ustraffet.

Endret 12. november 2011 av Newton

[NgZ]

1. Helt klart ulovlig i forhold til retningslinjene i App Store, jo.

Med mindre selvmotsigelser er en hobby, bør d vurdere en tur bort i bokhyllen. Se etter ordboken.

2. Miller sa etter eget utsagn fra til Apple om denne feilen den 14. oktober. Har ikke sett noe som tyder på at han har utsatt noen offentliggjøring allerede, planen var hele tiden å offentliggjøre dette under SysCan konferansen i neste uke - derav timingen på artikkel med "avsløringen" i Forbes:

http://www.forbes.com/sites/andygreenberg/2011/11/07/iphone-security-bug-lets-innocent-looking-apps-go-bad/

En utsettelse var nevnt i en av artikkelene om saken, men finner den ikke i farten. Han har uansett gitt Apple nok av tid på å fikse hullt før han offentliggjør exploiten (noe som blir greit bevist av at den allerede er fikset.)

3. Det er ingen ting som tyder på at han sa fra til Apple om programmet - det ble fjernet etter publiseringen av artikkelen i Forbes nå på mandag, der Miller fortalte om sin exploit-kode som han hadde lurt inn i App Store og ville presentere på SysCadu uenig n. Denne artikkelen ble selvsagt ikke publisert tilfeldig, men åpenbart som et ledd i Millers mediastrategi.

Var ikke det en effektiv varsling av Apple da?

 

Når det gjelder disclosure policyen til Apple, så er det fint og flott at de opplyser om allerede påviste/beviste sikkerhetshull.Men tror du virkelig de hadde innrømmet at det var kommet en trojaner i AppStore med mindre noen hadde puttet den der? Er uansett virkelig uenig i at å publisere en applikasjon osm kunne utnytte hullet var den eneste måten å teste ut hvorvidt hullet var praktisk utnyttbart? Ditt forslag om å samarbeide med Aplle om en slik test er mildt sagt virkelighetsfjern.

 

Når det er sagt, er jeg enig med deg i at han har krysset en grense om den har ligget ute så lenge som du sa - men så lenge han ikke har gjort noen skade, og det er det så langt ingen som har hevdet, er dette fortsatt ikke veldig ille i sikkerhetsammenheng. Det er mange som publiserer sikkerhetshull (altså fremgangsmåten) før hullet er tettet i det hele tatt. Apple bør uansett ta steget ned fra sin høye hest og innse at de, ved brukerne, trenger Miller, og at dette vil gi dem et dårlig rykte i sikkerhetsorienterte kretser - noe de med den nylige unlock-tabben (relativt uskyldig) og Siri lockscreen-tabben (ganske grov, med tanke på at de overlagt hadde satt en usikker default uten å informere om det) virkelig ikke trenger.