Grupa hakera otkrila je ranjivost u Appleovom centru za razvoj koji ostavlja web mjesto otvorenim za phishing prijevare. Osim ako Apple to uskoro ne popravi, korisnici bi se mogli nesvjesno preusmjeriti na zlonamjerne web stranice koje pokušavaju ukrasti njihove vjerodajnice.
Appleov centar za razvoj je web stranica koju registrirani programeri koriste kako bi došli do najnovijih iOS beta verzija i pred-izdanja Mac OS X softvera, uz mnoštvo informacija koje se koriste u razvojne svrhe. Međutim, moglo bi biti opasno za njegove posjetitelje.
Grupa za etička hakera YGN -a otkrila je ranjivost na web mjestu koja bi potencijalno mogla dopustiti napadač će "preusmjeriti" posjetitelje Dev Centra na zlonamjernu web stranicu koja će im pokušati ukrasti osobne podatke pojedinosti. Grupa je 25. travnja obavijestila Apple o ranjivosti, a 27. travnja Apple je potvrdio primitak informacija, napisavši: "Izvješće o potencijalnom sigurnosnom problemu shvaćamo vrlo ozbiljno."
Zasad se, međutim, vjeruje da Apple tek treba popraviti glavnu sigurnosnu rupu koju je otkrila grupa.
Macworldobjašnjava koliko je ranjivost opasna za programere koji pristupaju Appleovom centru za razvoj:
Određena rupa koja se odnosi na "ranjivi dio koda na developer.apple.com", prema grupi, naziva se "URL preusmjeravanje na nepouzdano web mjesto (" Otvoreno preusmjeravanje ")." To je opisano u Mitreove definicije podataka "Common Weakness Enumeration" kako slijedi: "Mijenjajući vrijednost URL -a na zlonamjernu web lokaciju, napadač može uspješno pokrenuti phishing prijevaru i ukrasti korisnika vjerodajnice. Budući da je naziv poslužitelja na izmijenjenoj vezi identičan izvornom web mjestu, pokušaji krađe identiteta imaju pouzdaniji izgled. ”
Mitrova definicija preusmjeravanja URL -a kaže da može dopustiti napad jer „korisnik može nesvjesno unijeti vjerodajnice na napadačevu web stranicu ”što bi ugrozilo osjetljivost korisnika informacija.
Grupa koja je otkrila nedostatak djeluje iz zemlje Mijanmara i tvrdi da ne želi da se otkrića o ranjivostima iskoriste u nezakonite hakerske svrhe. Umjesto toga, oni žele da web stranice uzmu u obzir njihova otkrića i poboljšaju njihovu sigurnost kako bi riješili probleme poput onih s Appleovim Dev Centrom.
Ako se ta ranjivost ne riješi u sljedećih nekoliko dana, grupa će javno objaviti informacije u vezi s tri specifična pitanja s Appleovim Dev Centrom putem "Full Disclosure security mailing liste", za koju se nadaju da će uvjeriti Apple da brzo počne raditi na popraviti.
Ti "problemi" uključuju proizvoljno preusmjeravanje URL -a; skriptiranje na više stranica; i razdjeljivanje HTTP odgovora, pri čemu je “osnovni uzrok” arbitrarno preusmjeravanje URL -a.
YGN je u ožujku otkrio ranjivost na web stranici zaštitarske tvrtke McAfee, ali nije bio zadovoljan odgovorom koji su dobili od tvrtke. No, nakon što je informacije objavio javnosti, McAfee je priznao i riješio probleme. Nadajmo se da će Apple učiniti isto.