Эксперт по кибербезопасности Чарли Миллер, который ранее находил много “дыр” в операционных системах iOS и Mac OS X обнаружил способ обойти проверку обязательного цифрового кода в операционной системе Apple.

Миллер нашел путь, позволяющий внедрить вредоносный код в движок javascript.
Начиная с 4.3. версии iOS, браузеру, в частности Safari, разрешили работать с java script без проверки обязательного цифрового года. Т.е. для ускорения работы, можно сразу же приступать к выполнению скрипта.
Несмотря на то, что официально работать с неподписанным кодом разрешается только браузеру, Миллер умудрился разрешить это и приложению.

Apple использует ряд проверок чтобы предотвратить использование этого, однако хакер умудрился найти уязвимость, куда успешно внедрил вредоносный код.

Чтобы продемонстрировать находку, Миллер создал невинное приложение биржевых сводок под названием Instastock и предложил его в Apple Store. После успешной модерации, оно попало в магазин приложений. Под прикрытием Instastock функционировал вредоносный код, который связывался с удаленным устройством и заставлял iPhone выполнять команды владельца этого устройства, даже вибрировать или просматривать файлы в смартфоне.

Уязвимости подвергнуты устройства на iOS 4.3 и более поздних версиях.