Μια ομάδα χάκερ ανακάλυψε ένα θέμα ευπάθειας με το Dev Center της Apple, το οποίο αφήνει τον ιστότοπο ανοιχτό σε απάτες ηλεκτρονικού "ψαρέματος". Αν η Apple δεν το διορθώσει σύντομα, οι χρήστες θα μπορούσαν να βρεθούν χωρίς να το γνωρίζουν σε κακόβουλους ιστότοπους που προσπαθούν να κλέψουν τα διαπιστευτήριά τους.
Κέντρο Dev της Apple είναι ο ιστότοπος που οι εγγεγραμμένοι προγραμματιστές χρησιμοποιούν για να πάρουν στα χέρια τους τα πιο πρόσφατα iOS betas και το λογισμικό Mac OS X πριν από την κυκλοφορία, εκτός από μια πληθώρα πληροφοριών που χρησιμοποιούνται για σκοπούς ανάπτυξης. Θα μπορούσε, ωστόσο, να είναι επικίνδυνο για τους επισκέπτες του.
Η YGN Ethical Hacker Group ανακάλυψε μια ευπάθεια στον ιστότοπο που θα μπορούσε ενδεχομένως να επιτρέψει μια εισβολέας για να "ανακατευθύνει" τους επισκέπτες του Dev Center σε κακόβουλο ιστότοπο, ο οποίος θα επιχειρήσει να κλέψει τα προσωπικά τους Λεπτομέριες. Η ομάδα ενημέρωσε την Apple για το θέμα ευπάθειας στις 25 Απριλίου και στις 27 Απριλίου η Apple αναγνώρισε τη λήψη των πληροφοριών, γράφοντας: «Λαμβάνουμε πολύ σοβαρά υπόψη την έκθεση για ένα πιθανό ζήτημα ασφάλειας».
Μέχρι στιγμής, ωστόσο, πιστεύεται ότι η Apple δεν έχει ακόμη διορθώσει την κύρια τρύπα ασφαλείας που ανακάλυψε η ομάδα.
Macworldεξηγεί πώς η ευπάθεια είναι επικίνδυνη για προγραμματιστές που αποκτούν πρόσβαση στο Dev Center της Apple:
Η συγκεκριμένη τρύπα που σχετίζεται με το "ευάλωτο τμήμα κώδικα στο developer.apple.com", σύμφωνα με την ομάδα, ονομάζεται "Ανακατεύθυνση URL σε μη αξιόπιστο ιστότοπο (" Άνοιγμα ανακατεύθυνσης ")." Αυτό περιγράφεται στο Οι ορισμοί των δεδομένων του Mitre για την "Κοινή απαρίθμηση αδυναμιών" έχουν ως εξής: "Τροποποιώντας την τιμή URL σε κακόβουλο ιστότοπο, ένας εισβολέας μπορεί να ξεκινήσει με επιτυχία μια απάτη ηλεκτρονικού" ψαρέματος "και να κλέψει χρήστες διαπιστευτήρια. Επειδή το όνομα του διακομιστή στον τροποποιημένο σύνδεσμο είναι πανομοιότυπο με τον αρχικό ιστότοπο, οι προσπάθειες ηλεκτρονικού "ψαρέματος" έχουν πιο αξιόπιστη εμφάνιση. "
Ο ορισμός Miter της ανακατεύθυνσης URL λέει ότι μπορεί να επιτρέψει μια επίθεση επειδή «ο χρήστης μπορεί τότε εισαγάγετε άθελά σας διαπιστευτήρια στην ιστοσελίδα του εισβολέα », κάτι που θα θέσει σε κίνδυνο την ευαίσθητη κατάσταση του χρήστη πληροφορίες.
Η ομάδα που ανακάλυψε το ελάττωμα λειτουργεί από τη χώρα της Μιανμάρ και ισχυρίζονται ότι δεν θέλουν οι ανακαλύψεις που κάνουν σχετικά με τα τρωτά σημεία να χρησιμοποιούνται για παράνομους σκοπούς hacking. Αντ 'αυτού, θέλουν οι ιστότοποι να λαμβάνουν υπόψη τα ευρήματά τους και να βελτιώνουν την ασφάλειά τους για να διορθώσουν ζητήματα όπως αυτά με το Dev Center της Apple.
Εάν αυτό το θέμα ευπάθειας δεν επιλυθεί τις επόμενες ημέρες, η ομάδα θα δημοσιοποιήσει δημόσια πληροφορίες σχετικά με τρία συγκεκριμένα ζητήματα με το Κέντρο Dev της Apple μέσω της "Λίστα αλληλογραφίας ασφάλειας πλήρους αποκάλυψης", η οποία ελπίζουν ότι θα πείσει την Apple να ξεκινήσει γρήγορα τη δουλειά της διορθώσετε.
Αυτά τα "ζητήματα" περιλαμβάνουν ανακατεύθυνση αυθαίρετης διεύθυνσης URL. δέσμες ενεργειών μεταξύ ιστότοπων. και απόκριση HTTP χωρισμένη, με «βασική αιτία» την Ανακατεύθυνση αυθαιρέτου URL.
Το YGN ανακάλυψε μια ευπάθεια στον ιστότοπο της εταιρείας ασφαλείας McAfee τον Μάρτιο, αλλά δεν έμεινε ικανοποιημένος με την απάντηση που έλαβαν από την εταιρεία. Ωστόσο, μετά τη δημοσιοποίηση των πληροφοριών, ο McAfee αναγνώρισε και έλυσε τα προβλήματα. Ας ελπίσουμε ότι η Apple θα κάνει το ίδιο.
