Sekelompok peretas telah menemukan kerentanan dengan Apple's Dev Center yang membuat situs tersebut terbuka untuk penipuan phishing. Kecuali jika Apple segera memperbaikinya, pengguna dapat menemukan diri mereka secara tidak sadar dialihkan ke situs web jahat yang mencoba mencuri kredensial mereka.
Pusat Pengembang Apple adalah situs web yang digunakan pengembang terdaftar untuk mendapatkan beta iOS terbaru dan perangkat lunak Mac OS X pra-rilis, selain banyak informasi yang digunakan untuk tujuan pengembangan. Namun, itu bisa berbahaya bagi pengunjungnya.
Grup Peretas Etis YGN telah menemukan kerentanan dengan situs yang berpotensi memungkinkan penyerang untuk "mengalihkan" pengunjung Pusat Dev ke situs web jahat, yang akan mencoba mencuri pribadi mereka rincian. Kelompok tersebut memberi tahu Apple tentang kerentanan pada 25 April, dan pada 27 April Apple mengakui menerima informasi tersebut, dengan menulis, "Kami menanggapi laporan potensi masalah keamanan dengan sangat serius."
Namun, hingga saat ini, diyakini Apple belum memperbaiki lubang keamanan utama yang ditemukan oleh grup tersebut.
dunia macmenjelaskan bagaimana kerentanan berbahaya bagi pengembang yang mengakses Pusat Dev Apple:
Lubang khusus yang terkait dengan "bagian kode yang rentan di developer.apple.com," menurut grup, disebut "Pengalihan URL ke Situs Tidak Tepercaya ('Pengalihan Terbuka')." Hal ini dijelaskan dalam Definisi data Mitre tentang “Pencacahan Kelemahan Umum” sebagai berikut: “Dengan memodifikasi nilai URL ke situs berbahaya, penyerang dapat berhasil meluncurkan penipuan phishing dan mencuri pengguna kredensial. Karena nama server di tautan yang dimodifikasi identik dengan situs aslinya, upaya phishing memiliki tampilan yang lebih dapat dipercaya.”
Definisi Mitra dari Pengalihan URL mengatakan itu dapat memungkinkan serangan karena "pengguna kemudian dapat" tanpa disadari memasukkan kredensial ke halaman web penyerang” yang akan membahayakan sensitifitas pengguna informasi.
Kelompok yang menemukan kelemahan tersebut beroperasi dari negara Myanmar dan mengklaim bahwa mereka tidak ingin penemuan yang mereka buat tentang kerentanan digunakan untuk tujuan peretasan ilegal. Sebagai gantinya, mereka ingin situs web mencatat temuan mereka dan meningkatkan keamanan mereka untuk memperbaiki masalah seperti yang terjadi pada Apple's Dev Center.
Jika kerentanan ini tidak teratasi selama beberapa hari ke depan, grup akan merilis informasi secara publik mengenai tiga masalah spesifik dengan Apple's Dev Center melalui "milis keamanan Pengungkapan Penuh", yang mereka harap akan membujuk Apple untuk segera bekerja di memperbaiki.
“Masalah” ini melibatkan pengalihan URL sewenang-wenang; skrip lintas situs; dan pemisahan respons HTTP, dengan "akar penyebab" adalah Pengalihan URL Sewenang-wenang.
YGN menemukan kerentanan dengan situs web perusahaan keamanan McAfee pada bulan Maret, tetapi tidak puas dengan tanggapan yang mereka terima dari perusahaan. Namun, setelah mempublikasikan informasi tersebut, McAfee mengakui dan menyelesaikan masalah tersebut. Mari berharap Apple melakukan hal yang sama.
