Een groep hackers heeft een kwetsbaarheid ontdekt in het Dev Center van Apple, waardoor de site openstaat voor phishing-zwendel. Tenzij Apple het snel repareert, kunnen gebruikers onbewust worden doorgestuurd naar kwaadaardige websites die proberen hun inloggegevens te stelen.
Apple's Dev Center is de website die geregistreerde ontwikkelaars gebruiken om de nieuwste iOS-bèta's en pre-release Mac OS X-software in handen te krijgen, naast een schat aan informatie die wordt gebruikt voor ontwikkelingsdoeleinden. Het kan echter gevaarlijk zijn voor zijn bezoekers.
De YGN Ethical Hacker Group heeft een kwetsbaarheid op de site ontdekt waardoor een aanvaller om bezoekers van het Dev Center te "omleiden" naar een kwaadaardige website, die zal proberen hun persoonlijke te stelen details. De groep informeerde Apple op 25 april over de kwetsbaarheid en op 27 april bevestigde Apple de ontvangst van de informatie door te schrijven: "We nemen de melding van een mogelijk beveiligingsprobleem zeer serieus."
Tot nu toe wordt echter aangenomen dat Apple het belangrijkste beveiligingslek dat door de groep is ontdekt, nog moet oplossen.
Macworldverklaart hoe de kwetsbaarheid gevaarlijk is voor ontwikkelaars die toegang hebben tot Apple's Dev Center:
Het specifieke gat met betrekking tot het "kwetsbare codegedeelte in developer.apple.com", volgens de groep, heet "URL-omleiding naar niet-vertrouwde site ('Open omleiding')." Dit wordt beschreven in Mitre's gegevensdefinities van "Common Weakness Enumeration" als volgt: "Door de URL-waarde naar een kwaadaardige site te wijzigen, kan een aanvaller met succes een phishing-zwendel lanceren en een gebruiker stelen referenties. Omdat de servernaam in de gewijzigde link identiek is aan de oorspronkelijke site, zien phishing-pogingen er betrouwbaarder uit.”
De Mitre-definitie van de URL-omleiding zegt dat het een aanval kan toestaan omdat "de gebruiker dan" onbewust inloggegevens invoeren op de webpagina van de aanvaller', waardoor de gevoelige informatie.
De groep die de fout ontdekte, opereert vanuit het land Myanmar en beweert dat ze niet willen dat de ontdekkingen die ze doen over kwetsbaarheden worden gebruikt voor illegale hackdoeleinden. In plaats daarvan willen ze dat websites kennis nemen van hun bevindingen en hun beveiliging verbeteren om problemen zoals die met Apple's Dev Center op te lossen.
Als dit beveiligingslek de komende dagen niet wordt opgelost, zal de groep informatie over drie specifieke problemen openbaar maken met Apple's Dev Center via de "Full Disclosure security mailinglist", waarvan ze hopen dat het Apple zal overtuigen om snel aan de slag te gaan met een repareren.
Deze "problemen" hebben betrekking op willekeurige URL-omleidingen; cross-site scripting; en HTTP-responssplitsing, waarbij de "hoofdoorzaak" de willekeurige URL-omleiding is.
De YGN ontdekte in maart een kwetsbaarheid op de website van beveiligingsbedrijf McAfee, maar was niet tevreden met de reactie die ze van het bedrijf ontvingen. Nadat de informatie echter openbaar was gemaakt, erkende McAfee de problemen en loste deze op. Laten we hopen dat Apple hetzelfde doet.