Группировка, которая называет себя YGN Ethical Hacker Group, определила
потенциальные дыры в безопасности сайта Apple для разработчиков Mac и iOS. Эти
дыры могут позволить злоумышленникам использовать ресурс Apple Developer
Connection для фишинговых атак с целью получения доступа к логинам и паролям
пользователей.
В соответствии с информацией, полученной от сайта Networkworld, хакеры
обнаружили три потенциальные бреши в безопасности сайта, включая произвольные
перенаправления URL, межсайтовый скриптинг, а также атаки типа HTTP response
splitting. В частности, возможность произвольного перенаправления на другие URL
может сделать фишинговые атаки против разработчиков успешными.
"С помощью перенаправления URL на сайт злоумышленника, атакующий может
запустить фишинговую аферу и украсть личные данные пользователя", - говорят
хакеры из YGN. "А так как имя сервера в видоизмененной ссылке идентично
исходному сайту, то попытки фишинга будут иметь более заслуживающий доверия
вид". Другими словами, даже если перенаправление заставит пользователей
оказаться на сайте злоумышленника, исходной ссылкой будет являться
developer.apple.com.
Так как разработчики используют свои ID для доступа в защищенные паролем зоны
сайта Apple, такие как форумы, раздел бета-версий операционных систем и раздел
набора средств для разработки ПО, то удавшаяся фишинговая атака может дать
хакерам доступ к iTunes-аккаунту пользователя, покупкам в iTunes и многому
другому. Если адрес электронной почты действителен, то хакеры могут также
попытаться получить доступ к ней, взломав пароль.
Хакеры из YGN заявляют, что они предупредили компанию Apple о проблеме в
конце апреля, и что она быстро сообщила о получении отчета. "Мы восприняли ваш
отчет о потенциальных проблемах безопасности очень серьезно", - компания Apple
ответила YGN. Но, как бы то ни было, не похоже, чтобы Apple закрыла возможные
бреши в безопасности.
Чтобы побудить Apple к действиям, хакеры из YGN заявили, что обнародуют
результаты своего исследования в рассылке по безопасности Full Disclosure в
течение нескольких дней.
