Grupa hakerów odkryła lukę w Centrum deweloperów firmy Apple, która naraża witrynę na oszustwa phishingowe. Jeśli Apple nie naprawi tego wkrótce, użytkownicy mogą zostać nieświadomie przekierowani na złośliwe strony internetowe, które próbują ukraść ich dane uwierzytelniające.
Centrum deweloperów Apple to strona internetowa, z której zarejestrowani programiści korzystają, aby uzyskać dostęp do najnowszych wersji beta systemu iOS i przedpremierowego oprogramowania Mac OS X, oprócz bogactwa informacji wykorzystywanych do celów programistycznych. Może jednak być niebezpieczny dla odwiedzających.
Grupa YGN Ethical Hacker Group wykryła lukę w witrynie, która może potencjalnie umożliwić atakujący w celu „przekierowania” odwiedzających Dev Center na złośliwą stronę internetową, która będzie próbowała ukraść ich dane osobowe Detale. Grupa poinformowała Apple o luce 25 kwietnia, a 27 kwietnia Apple potwierdziło otrzymanie informacji, pisząc: „Traktujemy zgłoszenie potencjalnego problemu z bezpieczeństwem bardzo poważnie”.
Na razie jednak uważa się, że Apple nie naprawiło jeszcze głównej luki w zabezpieczeniach wykrytej przez grupę.
Macworldwyjaśnia w jaki sposób luka jest niebezpieczna dla programistów uzyskujących dostęp do Centrum deweloperów Apple:
Konkretna dziura związana z „podatną częścią kodu na stronie developer.apple.com”, według grupy, nosi nazwę „Przekierowanie adresu URL do niezaufanych witryn („Otwarte przekierowanie”).” Jest to opisane w Definicje danych Mitre dotyczące „Common Weakness Enumeration” są następujące: „Modyfikując wartość adresu URL do złośliwej witryny, osoba atakująca może z powodzeniem uruchomić oszustwo phishingowe i ukraść użytkownika referencje. Ponieważ nazwa serwera w zmodyfikowanym łączu jest identyczna z oryginalną witryną, próby phishingu mają bardziej godny zaufania wygląd”.
Definicja Mitre przekierowania URL mówi, że może pozwolić na atak, ponieważ „użytkownik może wtedy nieświadomie wprowadź dane uwierzytelniające na stronie internetowej atakującego”, co naraziłoby na szwank wrażliwe dane użytkownika Informacja.
Grupa, która odkryła lukę, działa w Birmie i twierdzi, że nie chce, aby dokonane przez nią odkrycia dotyczące luk w zabezpieczeniach były wykorzystywane do nielegalnych celów hakerskich. Zamiast tego chcą, aby strony internetowe odnotowały ich odkrycia i poprawiły swoje bezpieczeństwo, aby rozwiązać problemy, takie jak te z Centrum deweloperów firmy Apple.
Jeśli ta luka nie zostanie rozwiązana w ciągu najbliższych kilku dni, grupa opublikuje publicznie informacje dotyczące trzech konkretnych problemów z Centrum deweloperów firmy Apple za pośrednictwem „listy e-mailowej dotyczącej bezpieczeństwa pełnego ujawnienia”, która, jak mają nadzieję, przekona Apple do szybkiego rozpoczęcia pracy nad naprawić.
Te „problemy” obejmują przekierowanie dowolnego adresu URL; skrypty między witrynami; i podział odpowiedzi HTTP, przy czym „główną przyczyną” jest Arbitrary URL Redirect.
YGN odkrył lukę w zabezpieczeniach witryny firmy McAfee w marcu, ale nie była usatysfakcjonowana odpowiedzią, jaką otrzymała od firmy. Jednak po upublicznieniu informacji firma McAfee uznała i rozwiązała problemy. Miejmy nadzieję, że Apple zrobi to samo.