Eine Gruppe von Hackern hat eine Schwachstelle im Apple Dev Center entdeckt, die die Website für Phishing-Betrügereien anfällig macht. Wenn Apple das Problem nicht bald behebt, könnten Benutzer unwissentlich auf bösartige Websites umgeleitet werden, die versuchen, ihre Zugangsdaten zu stehlen.
Apples Entwicklungszentrum ist die Website, die registrierte Entwickler verwenden, um die neuesten iOS-Betas und Vorabversionen von Mac OS X-Software sowie eine Fülle von Informationen zu Entwicklungszwecken in die Hände zu bekommen. Es könnte jedoch für seine Besucher gefährlich sein.
Die YGN Ethical Hacker Group hat eine Schwachstelle auf der Website entdeckt, die potenziell einen Angreifer, um Dev Center-Besucher auf eine bösartige Website umzuleiten, die versuchen wird, ihre persönlichen Daten zu stehlen Einzelheiten. Die Gruppe informierte Apple am 25. April über die Sicherheitslücke, und am 27. April bestätigte Apple den Erhalt der Informationen und schrieb: „Wir nehmen den Bericht über ein potenzielles Sicherheitsproblem sehr ernst.“
Es wird jedoch angenommen, dass Apple die von der Gruppe entdeckte Hauptsicherheitslücke noch beheben muss.
Macworlderklärt wie die Schwachstelle für Entwickler gefährlich ist, die auf das Dev Center von Apple zugreifen:
Die spezifische Lücke im Zusammenhang mit dem „anfälligen Codeteil in developer.apple.com“ heißt laut der Gruppe „URL-Umleitung zu einer nicht vertrauenswürdigen Site (‚Open Redirect‘).“ Dies ist beschrieben in Die Datendefinitionen von Mitre zur „Common Weakness Enumeration“ lauten wie folgt: „Indem ein Angreifer den URL-Wert zu einer bösartigen Site ändert, kann er erfolgreich einen Phishing-Betrug starten und den Benutzer stehlen Referenzen. Da der Servername im geänderten Link mit der Originalseite identisch ist, wirken Phishing-Versuche vertrauenswürdiger.“
Die Mitre-Definition der URL-Umleitung besagt, dass sie einen Angriff zulassen kann, weil „der Benutzer dann“ Geben Sie unwissentlich Zugangsdaten in die Webseite des Angreifers ein“, was die sensiblen Daten des Benutzers gefährden würde Information.
Die Gruppe, die den Fehler entdeckt hat, operiert aus dem Land Myanmar und behauptet, sie wolle nicht, dass ihre Entdeckungen über Schwachstellen für illegale Hacker-Zwecke verwendet werden. Stattdessen möchten sie, dass Websites ihre Ergebnisse zur Kenntnis nehmen und ihre Sicherheit verbessern, um Probleme wie die mit Apples Dev Center zu beheben.
Wenn diese Sicherheitsanfälligkeit in den nächsten Tagen nicht behoben wird, veröffentlicht die Gruppe öffentlich Informationen zu drei spezifischen Problemen mit Apples Dev Center über die „Full Disclosure Security Mailing List“, von der sie hoffen, dass sie Apple dazu bewegen wird, schnell an einer Fix.
Diese „Probleme“ beinhalten eine willkürliche URL-Umleitung; Cross-Site-Scripting; und HTTP-Antwortaufteilung, wobei die „Grundursache“ die beliebige URL-Umleitung ist.
Das YGN entdeckte bereits im März eine Schwachstelle auf der Website des Sicherheitsunternehmens McAfee, war jedoch mit der Antwort des Unternehmens nicht zufrieden. Nachdem die Informationen jedoch veröffentlicht wurden, erkannte McAfee die Probleme an und löste sie. Hoffen wir, dass Apple dasselbe tut.
