Un groupe de pirates informatiques a découvert une vulnérabilité avec le Dev Center d'Apple qui laisse le site ouvert aux escroqueries par phishing. À moins qu'Apple ne le répare rapidement, les utilisateurs pourraient se retrouver sans le savoir redirigés vers des sites Web malveillants qui tentent de voler leurs informations d'identification.
Centre de développement d'Apple est le site Web que les développeurs enregistrés utilisent pour mettre la main sur les dernières versions bêta d'iOS et les versions préliminaires du logiciel Mac OS X, en plus d'une mine d'informations utilisées à des fins de développement. Il pourrait cependant être dangereux pour ses visiteurs.
Le groupe YGN Ethical Hacker a découvert une vulnérabilité avec le site qui pourrait potentiellement permettre une attaquant pour « rediriger » les visiteurs du Dev Center vers un site Web malveillant, qui tentera de voler leur des détails. Le groupe a informé Apple de la vulnérabilité le 25 avril, et le 27 avril, Apple a accusé réception de l'information en écrivant: "Nous prenons très au sérieux le rapport d'un problème de sécurité potentiel."
Pour l'instant, cependant, on pense qu'Apple n'a pas encore corrigé le principal trou de sécurité découvert par le groupe.
Macmondeexplique comment la vulnérabilité est dangereuse pour les développeurs qui accèdent au centre de développement d'Apple :
Le trou spécifique lié à la "partie de code vulnérable dans developer.apple.com", selon le groupe, s'appelle "Redirection d'URL vers un site non fiable ("Open Redirect"). Ceci est décrit dans Les définitions de données de Mitre de « Common Weakness Enumeration » comme suit: « En modifiant la valeur de l'URL vers un site malveillant, un attaquant peut lancer avec succès une escroquerie de phishing et voler l'utilisateur crédits. Étant donné que le nom du serveur dans le lien modifié est identique au site d'origine, les tentatives de phishing ont une apparence plus fiable.
La définition Mitre de la redirection d'URL indique qu'elle peut autoriser une attaque car « l'utilisateur peut alors entrer involontairement des informations d'identification dans la page Web de l'attaquant ", ce qui compromettrait les informations sensibles de l'utilisateur informations.
Le groupe qui a découvert la faille opère depuis le pays du Myanmar et affirme qu'il ne veut pas que les découvertes qu'il fait sur les vulnérabilités soient utilisées à des fins de piratage illégal. Au lieu de cela, ils veulent que les sites Web prennent note de leurs découvertes et améliorent leur sécurité pour résoudre des problèmes comme ceux du Dev Center d'Apple.
Si cette vulnérabilité n'est pas résolue au cours des prochains jours, le groupe publiera publiquement des informations concernant trois problèmes spécifiques avec le Dev Center d'Apple via la "liste de diffusion de sécurité Full Disclosure", qui, espèrent-ils, persuadera Apple de se mettre rapidement au travail sur un réparer.
Ces « problèmes » impliquent une redirection d'URL arbitraire; scripts intersites; et le fractionnement des réponses HTTP, la « cause première » étant la redirection d'URL arbitraire.
Le YGN a découvert une vulnérabilité sur le site Web de la société de sécurité McAfee en mars, mais n'était pas satisfait de la réponse qu'il a reçue de la société. Cependant, après avoir rendu les informations publiques, McAfee a reconnu et résolu les problèmes. Espérons qu'Apple fasse de même.
