Hakeru grupa ir atklājusi Apple izstrādātāju centra ievainojamību, kas atstāj vietni atvērtu pikšķerēšanas izkrāpšanai. Ja vien Apple to drīz neizlabos, lietotāji varētu neapzināti novirzīt uz ļaunprātīgām vietnēm, kas mēģina nozagt viņu akreditācijas datus.
Apple izstrādātāju centrs ir vietne, kuru reģistrētie izstrādātāji izmanto, lai iegūtu informāciju par jaunākajām iOS beta versijām un Mac OS X pirmsizlaides programmatūru, kā arī bagātīgu informāciju, ko izmanto attīstības nolūkos. Tomēr tas var būt bīstams apmeklētājiem.
YGN Ethical Hacker Group vietnē ir atklājusi ievainojamību, kas varētu ļaut uzbrucējs, lai “novirzītu” izstrādātāju centra apmeklētājus uz ļaunprātīgu vietni, kas mēģinās nozagt viņu personīgo detaļas. Grupa informēja Apple par ievainojamību 25. aprīlī, un 27. aprīlī Apple apstiprināja informācijas saņemšanu, rakstot: “Mēs ļoti nopietni uztveram ziņojumu par iespējamu drošības problēmu.”
Tomēr pagaidām tiek uzskatīts, ka Apple vēl nav novērsis galveno grupas atklāto drošības caurumu.
Macworldskaidro kā ievainojamība ir bīstama izstrādātājiem, kuri piekļūst Apple izstrādātāju centram:
Konkrētais caurums, kas saistīts ar “neaizsargāto koda daļu vietnē developer.apple.com”, pēc grupas domām, tiek saukts par “URL novirzīšanu uz neuzticamu vietni (“ Open Redirect ”).” Tas ir aprakstīts sadaļā Mitre datu definīcijas “Kopējais vājumu uzskaitījums” ir šādas: “Pārveidojot URL vērtību uz ļaunprātīgu vietni, uzbrucējs var veiksmīgi sākt pikšķerēšanu un nozagt lietotāju akreditācijas dati. Tā kā servera nosaukums modificētajā saitē ir identisks sākotnējai vietnei, pikšķerēšanas mēģinājumiem ir uzticamāks izskats. ”
URL novirzīšanas Mitre definīcija saka, ka tā var atļaut uzbrukumu, jo “lietotājs to var darīt neapzināti ievadiet akreditācijas datus uzbrucēja tīmekļa vietnē ”, kas apdraud lietotāja sensitivitāti informāciju.
Grupa, kas atklāja šo trūkumu, darbojas no Mjanmas valsts un apgalvo, ka nevēlas, lai atklājumi par ievainojamībām tiktu izmantoti nelikumīgiem uzlaušanas nolūkiem. Tā vietā viņi vēlas, lai vietnes ņemtu vērā savus atklājumus un uzlabotu drošību, lai novērstu tādas problēmas kā Apple izstrādātāju centrs.
Ja šī ievainojamība dažu nākamo dienu laikā netiks novērsta, grupa publiski publiskos informāciju par trim konkrētām problēmām ar Apple izstrādātāju centru, izmantojot “pilnīgas atklāšanas drošības adresātu sarakstu”, kas, viņuprāt, pārliecinās Apple ātri sākt darbu pie labot.
Šīs “problēmas” ietver patvaļīgu URL novirzīšanu; skriptu veidošana starp vietnēm; un HTTP atbildes sadalīšana, kuras galvenais cēlonis ir patvaļīga URL novirzīšana.
YGN atklāja ievainojamību drošības firmas McAfee vietnē jau martā, taču nebija apmierināta ar atbildi, ko viņi saņēma no uzņēmuma. Tomēr pēc informācijas publiskošanas McAfee atzina un atrisināja problēmas. Cerēsim, ka Apple darīs to pašu.