Charlie Miller โดนแอปเปิลถอนบัญชีนักพัฒนา หลังค้นพบช่องโหว่ใน iOS/App Store

By: mk
FounderAndroidRed HatWindows
mk's blog on 09/11/11 16:49 Tags:
iOS

ผู้อ่าน Blognone คงคุ้นชื่อของ Charlie Miller แฮ็กเกอร์-ผู้เชี่ยวชาญด้านความปลอดภัยที่ชนะการแข่ง Pwn2Own หลายครั้ง (ดูข่าวเก่าในหมวดกันเอง) Miller เชี่ยวชาญเทคโนโลยีของฝั่งแอปเปิล เคยเจาะได้ทั้ง Safari และ iOS 4 รับของรางวัลเป็นผลิตภัณฑ์ของแอปเปิล (ที่ตัวเองเจาะได้) รวมกันแล้วหลายชิ้น

ล่าสุด Miller ไปพูดที่งานสัมมนาด้านความปลอดภัย SysCan ที่ไต้หวัน และเขาได้เดโมการเจาะช่องโหว่ของระบบ code signing ใน iOS ให้แก่ผู้เข้าร่วมงานดู

วิธีการนำเสนอของ Miller คือสร้างแอพที่อาศัยช่องโหว่ของ iOS และส่งขึ้นไปใน App Store ล่วงหน้า จากนั้นเขาดาวน์โหลดแอพตัวนี้จาก App Store ให้เห็น และแสดงให้ดูว่าแอพจาก App Store (ที่ผ่านการตรวจสอบจากแอปเปิลแล้ว) สามารถส่งข้อมูลกลับไปยังผู้สร้างแอพได้

Miller ให้สัมภาษณ์ที่งานว่า ถ้า iOS ยังมีบั๊กนี้อยู่ ก็ไม่มีอะไรรับประกันได้ว่าแอพบน App Store ปลอดภัยอย่างแท้จริง เพราะแอปเปิลไม่มีทางรู้ว่าแอพมีอันตรายเนื่องจากช่องโหว่ตัวนี้

หลังจากนั้นไม่กี่ชั่วโมง Miller ก็ประกาศบนทวิตเตอร์ว่า แอปเปิลเพิกถอนใบอนุญาตนักพัฒนา iOS ของเขาแล้ว ด้วยเหตุผลว่าผิดเงื่อนไขที่จะไม่แอบฝังโปรแกรมประสงค์ร้ายลงในแอพ (ซึ่ง Miller ก็ยอมรับเรื่องนี้)

การถอนสิทธินักพัฒนาของ Miller ถูกวิจารณ์จากวงการความปลอดภัยอย่างมาก เพราะตัว Miller เองก็ใช้สิทธินักพัฒนา ค้นหาช่องโหว่ของระบบและรายงานไปยังแอปเปิลอยู่เรื่อยๆ (ตามข่าวบอกว่ารายงานช่องโหว่เป็นหลักหลายสิบครั้ง) Miller บอกว่าต่อจากนี้ไปเขาจะทำงานได้ยากขึ้น และนั่นเป็นผลเสียต่อแอปเปิลเองด้วย

Miller ทิ้งท้ายว่าเขาจะไม่รายงานช่องโหว่นี้ไปยังแอปเปิล และอาจมีคนอื่นค้นพบมันแทน ซึ่งเป็นอันตรายต่อแอปเปิลได้

ที่มา - Forbes (1), Forbes (2)

Comments

By: Be1con
ContributorWindows PhoneAndroidWindows
Be1con's blog
on 09/11/11 16:52 #352100 toggle
Be1con's picture

อันตรายจริง ๆ ตอนแรก ๆ ก็มีคนใส่ไวรัสเข้า iOS ได้แล้ว จะรอดไหมเนี้ย Apple

Nokia is My Life, Windows Phone is My Love, Android is My Favorite and Twitter is My Addict!

SayHiIT | Twitter | Facebook

By: tirakarn
Android
tirakarn's blog
on 09/11/11 17:08 #352106 toggle
tirakarn's picture

ที่เข้าแสดงให้ดูเพื่อให้ apple เอาไปอุดช่องโหว่ไม่ใช่เหรอ

blog ส่วนตัว

By: Zatang
ContributoriPhoneAndroidIn Love
Zatang's blog
on 09/11/11 19:44 #352185 Reply to:352106 toggle
Zatang's picture

ถ้าเพื่อให้อุดช่องโหว่เค้าคงแจ้งไปทาง Apple แล้วหล่ะครับ ไม่ได้เอาไปโชว์คนอื่น โดยไม่บอกช่องโหว่

อคติทำให้คนรับเหตุผลด้านเดียว

By: EThaiZone
ContributorSymbian
EThaiZone's blog
on 09/11/11 17:15 #352110 toggle
EThaiZone's picture

เขาบอกว่าทำได้และแสดงหลักฐานผลงาน แต่เขาไม่ได้เปิดเผยโค้ดหรือวิธีการทำเลย แล้วก็โดนปิดAcc

มองแล้วเข้าใจตรรกะคนดูแลระบบแบบหุ่นยนต์เลย ทำตาม policy แป๊ะ! แต่ถ้าช่องโหว่นี้คนอื่นเจออีก งานนี้มีเละ.. - -*

By: wichate
Android
wichate's blog
on 09/11/11 17:23 #352117 Reply to:352110 toggle
wichate's picture

+1 กฏต้องเป็นกฏ ทำงานแบบหุ่นยนต์ก็อย่างนี้แหละครับ ชัดเจน ตรงไปตรงมา

ปล.ที่ apple ทำมันก็เป็นสิ่งที่ถูกต้อง แต่สิ่งที่ถูกต้องไม่ได้เป็นสิ่งที่ดีที่สุดเสมอไป...

By: mr_tawan
ContributoriPhoneAndroidWindows
mr_tawan's blog
on 09/11/11 18:18 #352138 Reply to:352110 toggle
mr_tawan's picture

ถ้าแจ้ง Apple ก่อน อาจจะไม่ถูกถอดยศ ไม่ใช่เอาไปแสดงให้สาธารณชนดูเป็นจำอวดแบบนี้ :P

อีกอย่าง ผมว่าอันนี้ผิดกฎค่อนข้างรุนแรงครับ ถ้าผมดูแลเรื่องความปลอดภัยก็คงถอดเขาออกเหมือนกัน เล่นเอาช่องว่างไปประกาศให้รู้กันทั่วแบบนี้ รับรองว่าอีกไม่นานคงมีคนแห่ทำกันแน่ ๆ

By: mk
FounderAndroidRed HatWindows
mk's blog
on 09/11/11 19:35 #352174 Reply to:352110 toggle
mk's picture

คือผมมองว่าแอปเปิลมีสิทธิทุกประการที่จะเพิกถอนใบอนุญาตได้นะครับ เพียงแต่อาจมีปัญหากับชุมชนนักวิจัยด้านความปลอดภัยตามมา

ทางที่ดีก็จ้าง Miller มันซะเลย!

my disclaimer

By: WWII
iPhoneAndroid
WWII's blog
on 09/11/11 17:17 #352111 toggle
WWII's picture

เค้าพยายามจะช่วยนะเนี้ย ทำไมไม่จ้างม่าช่วยงานเลยล่ะ?

By: jaykungzcs
Android
jaykungzcs's blog
on 09/11/11 17:19 #352113 toggle
jaykungzcs's picture

เปลี่ยนสัมพันธ์จาก พันธมิตร เป็น ศัตรูในพริบตา

By: lingjaidee
Windows PhoneAndroidWindows
lingjaidee's blog
on 09/11/11 17:19 #352115 toggle
lingjaidee's picture

บริษัท Anti virus ควรรีบคว้าตัว Miller แล้วทำ Apps Anti virus ออกมาให้คนโหลดพร้อมสโลแกนว่า "สำหรับป้องกันไวรัสที่ Apple มองไม่เห็น"

By: narasak
iPhoneAndroidUbuntu
narasak's blog
on 09/11/11 19:38 #352179 Reply to:352115 toggle
narasak's picture

มีหัวการตลาด เปิดบริษัืทเลยครับ อิอิ

By: cornario
AndroidUbuntu
cornario's blog
on 09/11/11 20:23 #352200 Reply to:352115 toggle
cornario's picture

มันจะได้ขึ้น app store รึเปล่านี่ซิครับปัญหา

ผมเป็นแฟนบอย Google ครับ ถ้าเอียงมากไปก็เตือนกันได้ :P

By: runnary
iPhoneWindows PhoneAndroidBlackberry
runnary's blog
on 09/11/11 17:49 #352131 toggle
runnary's picture

อาจจะปิดนักพัฒนา เปลี่ยนไปเป็นพนักงานรึเปล่าเอยยย??

By: Fzo
ContributorAndroidUbuntu
Fzo's blog
on 09/11/11 19:25 #352166 toggle
Fzo's picture

ข่าวนี้คอมเม้นต์น้อยกว่าที่คิดนะเนี่ย เห็นหัวข่าวแล้วน่าจะ 30+ (ล้อเล่นนะครับ):-P

WE ARE THE 99%

By: saknarak
Android
saknarak's blog
on 09/11/11 19:30 #352170 toggle
saknarak's picture

อันที่จริง สมัครใหม่ก็น่าจะได้

By: NgOrXz
iPhoneAndroidWindows
NgOrXz's blog
on 09/11/11 20:08 #352192 toggle
NgOrXz's picture

เอาแกไปร่วมงานด้วยจบ

©NgOrXz™® แมนเชสเตอร์ยูไนเต็ด เก่งที่สุดในโลก

By: chittapanu
Android
chittapanu's blog
on 09/11/11 20:33 #352207 toggle
chittapanu's picture

ดีไม่มีคนช่วยหาช่องโหว่จะได้เจลได้ง่ายขึ้น

i like android

By: nextman13
Ubuntu
nextman13's blog
on 09/11/11 20:34 #352209 toggle
nextman13's picture

ผมว่าหมอนี่ทำผิดที่ไปอวดว่าตัวเองเจาะระบบได้ยังไง แทนที่จะรายงานไปบอกเขาตรงๆ

This is a pen.

By: 7
Android
7's blog
on 09/11/11 20:49 #352213 toggle
7's picture

ที่จริงไม่เห็นต้องง้อเลยนะ ข้อมูลพวกนี้ถ้าเอาไปขาย รับรองว่าต้องมีคนซื้อ คนที่จะเสียคือ apple เอง

7blogger.com

By: specimen
Windows PhoneAndroid
specimen's blog
on 09/11/11 21:15 #352222 toggle
specimen's picture

.

By: bubbleball
bubbleball's blog
on 09/11/11 21:31 #352229 toggle
bubbleball's picture

สงสัยเคือง เอาไปเผยชาวบ้านออกหน้าออกตามากไป และเสียภาพลักษณ์ต่อระบบของ apple ด้วยสิ

NINEB.NET

By: Ford AntiTrust
ContributoriPhoneWindows PhoneBlackberry
Ford AntiTrust's blog
on 09/11/11 21:45 #352231 toggle
Ford AntiTrust's picture

กรณี Charlie Miller กับ Apple โดยส่วนตัว ถ้าเป็นผมคงเพิ่งถอนเค้าเช่นกัน แต่สิ่งที่ตามมาคือโต้ว่าปิดช่องโหว่นั้นแล้วเพื่อสร้างความเชื่อมั่น

By: cloverink
iPhoneAndroidUbuntu
cloverink's blog
on 10/11/11 1:35 #352277 toggle
cloverink's picture

ก็ ระงับ แล้วทาบทามมาทำงานเลยเป็นไง

i = NulL

By: NewweN
iPhoneWindows PhoneAndroidUbuntu
NewweN's blog
on 10/11/11 9:22 #352333 toggle
NewweN's picture

ออกแนวเหมือนมาร์ค ซักเคอเบิกเลย ที่ในหนังเจาะระบบของมหาลัย >_<

By: PaPaSEK
ContributorAndroidWindowsIn Love
PaPaSEK's blog
on 10/11/11 9:59 #352373 toggle
PaPaSEK's picture

ไม่ต้องแค้นแทน Miller หรอกครับ เพราะตัวเค้าเองก็คาดไว้แล้วว่าคงโดนระงับบัญชีนักพัฒนา แอปเปิลก็ทำถูกแล้วล่ะครับที่ทำงานบนมาตรฐานเดียวแบบนี้

แต่ถ้าแอปเปิลเด็ดหัวแล้วเตะส่งไปเฉยๆ ผมว่าก็น่าอดสูไปนิด ... น่าจะมีทางออกให้กับ Miller บ้าง (ผมคิดว่า Miller วางทางออกให้ตัวเองเอาไว้แล้วล่ะครับ)

งานนี้ Miller ก็คะนองไปหน่อย เพราะไม่ยอมแจ้งช่องโหว่ไปทางแอปเปิล ดันมาเปิดช่องโหว่โชว์ในงานเหมือนจะโชว์ความเก๋ามากกว่า