"Ôi chúa ơi, Apple vừa đuổi tôi ra khỏi chương trình phát triển iOS. Đó là một hành động rất thô lỗ", chuyên gia bảo mật Charlie Miller đã viết trên trang Twitter của mình.
Trước thời điểm xảy ra, Andy Greenberg của tạp chí Forbes đã cho công bố kết quả nghiên cứu của Miller, một chuyên gia nghiên cứu bảo mật nổi tiếng trong các sản phẩm và dịch vụ của Apple. Miller cho biết rằng ông đã phát hiện ra một lỗ hổng bảo mật trong iOS cho phép các ứng dụng lấy mã unsigned từ máy chủ của bên thứ ba để thêm vào một ứng dụng ngay cả sau khi nó đã được phê duyệt vào App Store.
Charlie Miller phát hiện ra rằng, các hacker có thể viết một ứng dụng vượt qua quá trình rà soát nghiêm ngặt của Apple để được đưa vào App Store. Một khi ứng dụng này được phép có mặt trong App Store, nó có thể khai thác lỗ hổng trong trình duyệt Safari trên các thiết bị iOS mà qua đó nó có thể tải các mã độc để hacker lợi dụng. Lỗi bảo mật này có thể tìm thấy ở phiên bản iOS 4.3 trở về sau. Các thiết bị iOS nếu bị tấn công có thể bị cướp quyền truy cập danh bạ, ảnh, thậm chí là kích hoạt chế độ rung trên điện thoại của Apple.
Tuy nhiên, sau khi viết ứng dụng kiểm tra chứng khoán mang tên InstaStock để chứng minh lỗ hổng này, nhà phát triển Charlie Miller đã bị Apple “đá văng” khỏi chương trình phát triển iOS. Ông sẽ bị khóa tài khoản miễn phí được Apple tặng của mình, nhưng nếu muốn ông có thể mua tài khoản riêng với giá 99 USD để gia nhập lại.
Trong lá thư của Apple gửi đến Miller, hãng cho biết ông đã vi phạm các chỉ mục 3.2 và 6.1 trong thỏa thuận Hiệp định của chương trình phát triển Apple iOS, bao gồm việc can thiệp vào các phần mềm và dịch vụ của Apple, các tính năng ẩn của công ty khi thực hiện.
Miller cho biết: "Tôi không nghĩ rằng họ đã từng làm điều này đối với các nghiên cứu khác. Sau này sẽ không có nhà nghiên cứu nào có thể nhìn ra sự an toàn của App Store nếu Apple vẫn làm như vậy".
Charlie Miller nổi tiếng là người đã xuyên thủng lỗ hổng bảo mật trong các phần mềm của Apple trong những năm qua, tiêu biểu là việc hack trình duyệt Safari dành cho di động vào năm 2007, ngay sau khi iPhone thế hệ đầu tiên được phát hành. Ngoài ra, tại các cuộc thi bảo mật Pwn2Ow, ông thường xuyên chiến thắng trong việc kiểm soát hệ điều hành Mac OX của Apple thông qua trình duyệt web Safari. Gần đây ông cũng đã phát hiện ra lỗ hổng cho phép các hacker có thể vô hiệu hóa mã pin và cho phép truy cập vào tài khoản quản trị.
Apple hiện chưa bình luận về vấn đề này, nhưng nhiều khả năng lí do chính là việc Charlie đã tạo ra một ứng dụng và “công khai” trình diễn lỗ hổng.
Theo CNET
Bình luận
Thật là ngộ, không biết chuyện bên trong thế nào chứ chả lẽ Apple lại cư xử như vậy.
Nhìn chung là tại vì Apple nó ko muốn chuyện lỗ hổng của mình lộ ra ngoài ^^
Thay vì công bố như thế, ổng lặng lẽ báo cáo với Apple, Apple lặng lẽ cập nhật thông qua một bản vá thường lệ nào đó thì đẹp mặt cả 2.
Việc công bố như vậy sẽ làm sụt giảm lòng tin của người dùng iDevice, có khả năng dẫn đến nhiều tranh chấp khác (kiện Apple vì không có biện pháp bảo vệ thông tin cá nhân).
Có lẽ với việc này, Apple cũng cảnh cáo các chuyên gia khác: "Có gì thì báo cáo rồi bàn riêng, các chú muốn bao nhiêu thì ta thương lượng, chứ đá điểu nhau thì không xong với tôi đâu".
Bài này hiểu sai ý chính rồi. Ông này có làm việc cho Apple đâu mà bị đuổi. Chỉ có không cho ổng xài tài khoản Developer (như kiểu MSDN của Microsoft) nữa thôi, có nghĩa là ổng phải bỏ ra 99 USD để mua tài khoản khác xài tiếp Theo ổng nói thì Apple có tặng tài khoản miễn phí cho ổng, nhưng trước đó ổng cũng đã mua tài khoản riêng rồi. Rẻ bèo mà.