Чарли Милър, анализатор за компютърна сигурност и анализ, планира да демонстрира уязвимост, открита от него, която позволява на обикновените приложения от App Store да изтеглят и изпълняват нежелани части от код на всяко устройство с iOS.
Милър отдавна участва в сигурността на продуктите на Apple. През 2008 г. той получи награда от 10 000 долара на конференцията Pwn2Own за създаване на експлойт за MacBook Air. На следващата година той демонстрира десетсекундно хакване на браузъра Safaru, както и уязвимостта на iPhone, свързана с прехвърлянето на кратки съобщения. Този път Чарли създаде Instastock - привидно обичайно приложение, което изпълнява функции за наблюдение. Instastock успешно премина в App Store. След известно време обаче Милър качи видеоклип в YouTube, в който приложението изобщо не води по начина, описан в описанието му. След като Apple разбра за това приложение и видеоклипа, Instastock бе премахнат от App Store и самият Милър беше изключен от програмата за разработчици на iOS.
Когато се стартира, приложението се държи както е предписано, но след като Милър активира „скритата” функционалност на своя сървър, някак си имащ достъп до приложението, Instastock започва да зарежда и изпълнява нежелани първоначални кодове. Според правилата, приложенията от App Store могат да изпълняват само одобрен от Apple код. Въпреки това приложението, написано от Miller, ви позволява дистанционно да включите вибриращ сигнал, да отворите видеоклип в YouTube и дори да изтеглите адресна книга от устройството. Видеото също така демонстрира възможността за отдалечено изпълнение на различни команди на iPhone чрез интерфейса на командния ред.
Очевидно е, че такъв хакер стана възможен поради факта, че JavaScript двигателят Nitro, представен в iOS 4.3, предоставя някои изключения за браузъра Safari, за да ускори визуализирането на страници. Според Милър "Apple използва всичките си проверки само за да се увери, че само браузърът използва това изключение, но в този случай е възможно да го заобиколим и да не се притесняваме за кода, използван изобщо."
Instastock вече е премахнат от App Store. Най-вероятно Apple ще включи поправка за тази уязвимост в актуализацията на iOS 5.0, която вече има статут на бета 2 и съдържа поправки за сигурността на системата.
