Skupina hackerů objevila zranitelnost v Dev Center společnosti Apple, která nechává web otevřený phishingovým podvodům. Pokud to Apple brzy nevyřeší, uživatelé se mohou ocitnout nevědomky přesměrováni na škodlivé weby, které se pokusí ukrást jejich přihlašovací údaje.
Centrum pro vývojáře Apple je webová stránka, kterou registrovaní vývojáři používají k získání nejnovějších beta verzí pro iOS a softwaru Mac OS X před vydáním, kromě množství informací používaných pro vývojové účely. Pro jeho návštěvníky to však může být nebezpečné.
Skupina YGN Ethical Hacker Group zjistila u webu chybu zabezpečení, která by potenciálně mohla umožnit útočník „přesměruje“ návštěvníky Dev Center na škodlivé webové stránky, které se pokusí ukrást jejich osobní údaje podrobnosti. Skupina informovala společnost Apple o zranitelnosti 25. dubna a 27. dubna společnost Apple potvrdila přijetí těchto informací a napsala: „Zprávu o potenciálním bezpečnostním problému bereme velmi vážně.“
Zatím se však věří, že Apple ještě opraví hlavní bezpečnostní díru, kterou skupina objevila.
Macworldvysvětluje jak je zranitelnost nebezpečná pro vývojáře, kteří přistupují k Dev Center společnosti Apple:
Konkrétní díra související s „zranitelnou částí kódu na webu developer.apple.com“ se podle skupiny nazývá „Přesměrování adresy URL na nedůvěryhodné stránky („ Otevřené přesměrování “). To je popsáno v Definice dat společnosti Mitre o „Společném výčtu slabých stránek“ takto: „Úpravou hodnoty adresy URL na škodlivý web může útočník úspěšně spustit phishingový podvod a ukrást uživatele. pověření. Protože název serveru v upraveném odkazu je shodný s původním webem, pokusy o phishing mají důvěryhodnější vzhled. “
Pokosová definice přesměrování URL říká, že může umožnit útok, protože „uživatel pak může nevědomky zadejte přihlašovací údaje na webovou stránku útočníka “, což by ohrozilo citlivost uživatele informace.
Skupina, která chybu objevila, pochází z Myanmaru a tvrdí, že nechce, aby její objevy týkající se zranitelností byly použity k nezákonnému hackerskému účelu. Místo toho chtějí, aby si webové stránky vzaly na vědomí jejich zjištění a zlepšily jejich zabezpečení, aby vyřešily problémy, jako jsou ty s vývojovým centrem Apple.
Pokud tato chyba zabezpečení nebude vyřešena během několika příštích dnů, skupina veřejně zveřejní informace týkající se tří konkrétních problémů s Dev Center společnosti Apple prostřednictvím „seznamu adresátů zabezpečení s úplným zveřejněním“, který, jak doufají, přesvědčí Apple, aby se rychle pustil do práce na opravit.
Tyto „problémy“ zahrnují libovolné přesměrování adresy URL; skriptování mezi weby; a rozdělení odpovědi HTTP, přičemž „hlavní příčinou“ je přesměrování libovolné adresy URL.
YGN objevil zranitelnost na webových stránkách bezpečnostní firmy McAfee již v březnu, ale nebyl spokojen s reakcí, kterou od společnosti obdrželi. Po zveřejnění informací však McAfee problémy uznal a vyřešil. Doufejme, že Apple udělá to samé.
