Ryhmä hakkereita on löytänyt haavoittuvuuden Applen kehittämiskeskuksessa, joka jättää sivuston avoimeksi tietojenkalasteluhuijauksille. Ellei Apple korjaa sitä pian, käyttäjät voivat joutua tietämättään uudelleenohjatuksi haitallisille verkkosivustoille, jotka yrittävät varastaa heidän tunnistetietonsa.
Applen kehittämiskeskus on rekisteröityjen kehittäjien verkkosivusto, jolla he saavat käsiinsä uusimmat iOS-beetat ja Mac OS X -ohjelmiston esijulkaisun sekä runsaasti kehitystarkoituksiin käytettävää tietoa. Se voi kuitenkin olla vaarallista vierailijoilleen.
YGN Ethical Hacker Group on löytänyt sivustosta haavoittuvuuden, joka saattaa sallia hyökkääjä "ohjaamaan" kehittämiskeskuksen vierailijat haittaohjelmalle, joka yrittää varastaa heidän henkilökohtaisensa yksityiskohdat. Ryhmä ilmoitti Applelle haavoittuvuudesta 25. huhtikuuta, ja 27. huhtikuuta Apple vahvisti vastaanottaneensa tiedot ja kirjoitti: "Otamme raportin mahdollisesta turvallisuusongelmasta erittäin vakavasti."
Toistaiseksi kuitenkin uskotaan, että Apple ei ole vielä korjannut ryhmän löytämää tärkeintä suoja -aukkoa.
Macworldselittää kuinka haavoittuvuus on vaarallinen kehittäjille, jotka käyttävät Applen kehittämiskeskusta:
Ryhmän mukaan erityistä aukkoa, joka liittyy "haavoittuvaan koodiosaan osoitteessa developer.apple.com", kutsutaan "URL -osoitteen uudelleenohjaukseksi epäluotettavaan sivustoon (" avoin uudelleenohjaus ")." Tämä on kuvattu kohdassa Mitren tietomääritelmät "yleinen heikkousluettelo" ovat seuraavat: "Muokkaamalla URL -arvon haittaohjelma -sivustoksi hyökkääjä voi onnistuneesti käynnistää tietojenkalasteluhuijauksen ja varastaa käyttäjän tunnistetiedot. Koska muokatun linkin palvelimen nimi on identtinen alkuperäisen sivuston kanssa, tietojenkalasteluyritykset näyttävät luotettavammilta. ”
URL -uudelleenohjauksen Mitre -määritelmän mukaan se voi sallia hyökkäyksen, koska "käyttäjä voi sitten syötät tahattomasti kirjautumistiedot hyökkääjän verkkosivulle ”, mikä vaarantaa käyttäjän arkaluonteisuuden tiedot.
Vian löytänyt ryhmä toimii Myanmarin maasta ja väittää, että he eivät halua haavoittuvuuksia koskevia havaintojaan käyttää laittomiin hakkerointitarkoituksiin. Sen sijaan he haluavat, että verkkosivustot huomioivat havaintonsa ja parantavat tietoturvaaan korjatakseen Applen kehittämiskeskuksen kaltaisia ongelmia.
Jos tätä haavoittuvuutta ei ratkaista seuraavien päivien aikana, ryhmä julkaisee julkisesti tietoja kolmesta erityisestä ongelmasta Applen kehittämiskeskuksen kanssa "Full Disclosure Security -postituslistan" kautta, jonka he toivovat saavan Applen ryhtymään nopeasti töihin korjata.
Näihin "ongelmiin" liittyy mielivaltainen URL -osoitteen uudelleenohjaus; sivustojen välinen komentosarja; ja HTTP -vastauksen jakaminen, "perimmäinen syy" on mielivaltainen URL -uudelleenohjaus.
YGN löysi haavoittuvuuden turvayritys McAfeen verkkosivustolta jo maaliskuussa, mutta ei ollut tyytyväinen yritykseltä saamaansa vastaukseen. Tietojen julkistamisen jälkeen McAfee kuitenkin tunnisti ja ratkaisi ongelmat. Toivotaan, että Apple tekee samoin.
