ჰაკერების ჯგუფმა აღმოაჩინა დაუცველობა Apple- ის Dev Center– თან, რაც საიტს ღია ტოვებს ფიშინგის თაღლითობებისთვის. თუ Apple მალე არ გამოასწორებს მას, მომხმარებლებს შეეძლებათ გაუცნობიერებლად გადამისამართდნენ მავნე ვებსაიტებზე, რომლებიც ცდილობენ მოიპარონ მათი რწმუნებათა სიგელები.
Apple- ის დევ ცენტრი არის ვებ – გვერდი, რომელსაც რეგისტრირებული დეველოპერები იყენებენ იმისათვის, რომ მიიღონ ხელი iOS– ის უახლესი ვერსიებისა და წინასწარი გამოშვების Mac OS X პროგრამული უზრუნველყოფის გარდა, განვითარების მიზნით გამოყენებული ინფორმაციის სიმდიდრის გარდა. თუმცა, ეს შეიძლება საშიში იყოს მისი ვიზიტორებისთვის.
YGN ეთიკური ჰაკერების ჯგუფმა აღმოაჩინა დაუცველობა იმ საიტთან დაკავშირებით, რომელსაც შეუძლია პოტენციურად დაუშვას თავდამსხმელი „გადამისამართებს“ დევ ცენტრის ვიზიტორებს მავნე ვებსაიტზე, რომელიც შეეცდება მოიპაროს მათი პირადი დეტალები. ჯგუფმა შეატყობინა Apple– ს დაუცველობის შესახებ 25 აპრილს, ხოლო 27 აპრილს Apple– მა აღიარა ინფორმაციის მიღება და დაწერა: ”ჩვენ უსაფრთხოების სერიოზულ საკითხთან დაკავშირებით ანგარიშს ძალიან სერიოზულად ვეკიდებით”.
ჯერჯერობით, ითვლება, რომ Apple– მა ჯერ კიდევ არ უნდა შეასწოროს უსაფრთხოების მიერ აღმოჩენილი უსაფრთხოების მთავარი ხვრელი.
Macworldგანმარტავს რამდენად დაუცველობაა საშიში დეველოპერებისთვის, რომლებიც შედიან Apple– ის Dev Center– ში:
ჯგუფის მიხედვით "developer.apple.com- ის" დაუცველი კოდის ნაწილთან "დაკავშირებულ კონკრეტულ ხვრელს ეწოდება" URL გადამისამართება არასაიმედო საიტზე ("ღია გადამისამართება"). " ეს აღწერილია მიტრის მონაცემების განმარტება „საერთო სისუსტეების აღრიცხვა“ შემდეგნაირად: „მავნე საიტის URL მნიშვნელობის შეცვლით, თავდამსხმელს შეუძლია წარმატებით წამოიწყოს ფიშინგის თაღლითობა და მოიპაროს მომხმარებელი რწმუნებათა სიგელები იმის გამო, რომ სერვერის სახელი შეცვლილ ბმულში იდენტურია ორიგინალური საიტის, ფიშინგის მცდელობებს აქვთ უფრო სანდო გარეგნობა. ”
URL გადამისამართების მიტრის განსაზღვრება ამბობს, რომ მას შეუძლია შეტევის დაშვება, რადგან „მომხმარებელს შეუძლია მაშინ უნებლიეთ შეიტანეთ სერთიფიკატები თავდამსხმელის ვებ გვერდზე ”, რაც კომპრომეტირებას მოახდენს მომხმარებლის მგრძნობიარეზე ინფორმაცია.
ჯგუფი, რომელმაც აღმოაჩინა ხარვეზი, მუშაობს მიანმარის ქვეყნიდან და აცხადებენ, რომ მათ არ სურთ, რომ აღმოჩენები დაუცველების შესახებ გამოიყენონ უკანონო ჰაკერების მიზნით. ამის ნაცვლად, მათ სურთ, რომ ვებგვერდებმა გაითვალისწინონ თავიანთი დასკვნები და გააუმჯობესონ მათი უსაფრთხოება Apple– ის დევ ცენტრის მსგავსი პრობლემების მოსაგვარებლად.
თუ ეს დაუცველობა არ მოგვარდება მომდევნო რამდენიმე დღის განმავლობაში, ჯგუფი საჯაროდ გაავრცელებს ინფორმაციას სამ კონკრეტულ საკითხთან დაკავშირებით Apple– ის დევ ცენტრთან ერთად „უსაფრთხოების სრული გამჟღავნების უსაფრთხოების დაგზავნის სიის“ საშუალებით, რაც მათ იმედი აქვთ დაარწმუნებენ Apple– ს, რომ სწრაფად დაიწყოს მუშაობა დაფიქსირება.
ეს "საკითხები" მოიცავს თვითნებური URL გადამისამართებას; cross-site scripting; და HTTP პასუხი იყოფა, „ძირეული მიზეზი“ არის თვითნებური URL გადამისამართება.
YGN– მა მარტში აღმოაჩინა დაუცველობა უსაფრთხოების ფირმა McAfee– ს ვებ – გვერდზე, მაგრამ არ დაკმაყოფილდა კომპანიისგან მიღებული პასუხით. ინფორმაციის გასაჯაროების შემდეგ, მაკაფიმ აღიარა და გადაჭრა პრობლემები. ვიმედოვნოთ, რომ Apple იგივე გააკეთებს.