Исследователь из компании Accuvant Labs Чарли Миллер обнаружил проблему, создав прототип вредоносной программы-приложения и загрузив его в App Store. Выяснилось, что система безопасности не смогла идентифицировать зловреда.
Чарли Миллеру удалось разместить в Apple App Store приложение с эксплойтом, с помощью которого можно дистанционно загружать на чужие iPhone посторонний код и запускать его. Программа прошла официальную проверку Apple: она носит название Instastock и маскируется под систему отслеживания биржевых котировок.
Эксплойт пользуется найденной Миллером брешью в механизме исполнения JavaScript, имеющейся в версиях iOS начиная с версии 4.3. Для скорости механизм обходит требование проверки сертификата подписанного кода, что и дало исследователю возможность разместить в приложении троянскую часть.
Пока еще неизвестно, использовали ли хакеры уязвимость iOS, но Миллер заявил, что реальная угроза существует и его тест тому доказательство.
Компания Apple пока воздерживается от комментариев по этому поводу.