Video: This Video Could Save Your iPhone & Apple ID Credentials (November 2024)
Medtem ko se je "vsiljivec", ki je pristopil do Apple Developer Center, izkazal kot le radoveden preizkuševalec penetracije, lahko napadi na spletna mesta za razvijalce povzročijo resne posledice, razen zgolj kraje osebnih podatkov.
Apple je prejšnji četrtek ugasnil spletno mesto za razvijalce Mac, iPhone in iPad, rekoč, da izvaja nenačrtovano vzdrževanje. Drugih informacij ni dalo, razvijalci pa so postajali vse bolj zaskrbljeni zaradi dolgotrajnega izpada. Z izklonjenim portalom ti razvijalci niso mogli delati nove kode, preverjati stanja svojih obstoječih aplikacij ali upravljati svojih računov.
"Prejšnji četrtek je vsiljivec poskušal zaščititi osebne podatke naših registriranih razvijalcev z našega spletnega mesta za razvijalce, " je Apple v nedeljo zvečer na koncu sporočil razvijalcem. Medtem ko so bile občutljive informacije šifrirane in do njih ni bilo mogoče dostopati, je družba dejala, da "so morda dostopna imena nekaterih razvijalcev, poštni naslovi in / ali e-poštni naslovi."
Ni zlonamerni napad?
Ibrahim Balić, londonski preizkuševalec penetracije, je izjeme označil za vsiljivca. Podjetja Balic redno najemajo Balic, da bi poskušali najti ranljivosti v svojih sistemih, pred kratkim pa se je odločil, da si ogleduje Applova mesta. Skupno je našel 13 hroščev, o katerih so vsi poročali s spletnim poročevalnikom o hroščih, je dejal. Štiri ure po zadnjem poročilu o napakah je bil portal uničen.
"Apple !! To zagotovo ni hekerski napad! Nisem heker, raziskujem varnost, " je na Twitterju zapisal Ibrahim Balič.
Balič je dejal, da se Apple ni odzval na njegova poročila o napakah. "Te raziskave nisem storil, da bi škodoval ali škodoval, " je dejal v komentarju, objavljenem na TechCrunch. Ustvaril je videoposnetek v YouTubu, da bi prikazal, kako je dostopal do informacij o razvijalcih, vendar ga je odnesel, ko je ugotovil, da ni pozabil imen in podrobnosti posameznih razvijalcev.
Zakaj ciljati na razvijalce?
Balič med naletom na Applove strežnike morda ni nameraval ničesar zlonamernega, toda razvijalci so vse bolj tarči. Canonical je razkril, da so bili njegovi forumi Ubuntu prekinjeni med vikendom. Ti napadi se ne razlikujejo tako kot napadi na katero koli drugo mesto. Tako kot v prejšnjih incidentih so tudi danes ti uporabniki ogroženi zaradi napadov socialnega inženiringa, kot so ponarejene ponastavitve gesla. Napadalci se lahko poskušajo prijaviti tudi na druga mesta z ukradenimi poverilnicami.
Portal za razvijalce je "središče" z uporabniki iz različnih organizacij, je dejal Mike Lloyd, predstavnik organizacije RedSeal Networks. Napadalca morda ne zanimajo dejanski podatki, shranjeni na samem spletnem mestu za razvijalce, temveč poverilnice za prijavo, ki lahko delujejo na drugih spletnih mestih, je dejal Lloyd. "Če lahko ogrožate podatke o računu na spletnem mestu vozlišča, je velika verjetnost, da imate zdaj veljavne prijave za večje število drugih podjetij, " je dejal Lloyd.
V začetku tega leta je bil forum razvijalcev za iOS ogrožen in je okužil zaposlene na Twitterju, Facebooku in druge z zlonamerno programsko opremo. Napadalci, ki ciljajo na Appleovo razvijalce, bi lahko bili zainteresirani za začetek napadov za zalivanje lukenj, da bi ciljali na razvijalce v drugih podjetjih, je dejal Lee Weiner, višji podpredsednik za izdelke in inženiring pri Rapid7.
Napadalci z ukradenimi računi razvijalcev Apple bodo lahko pod imenom ogroženega razvijalca naložili potencialno zlonamerne aplikacije, je dejal Michael Sutton, podpredsednik varnostnih raziskav pri Zscalerju.
Ker imajo računi potrdilo za podpisovanje razvijalca za odobrene aplikacije, obstaja nevarnost, da bodo napadalci lahko podpisali zlonamerne aplikacije z uporabo zakonitih potrdil, je dejal Tommy Chin, inženir tehnične podpore pri CORE Security. "Ponarejene overjene aplikacije v Appstoreju se bodo pojavile, če Apple ne bo obdržal portala, dokler ni odpravljen, " je dejal Chin.
"Napad se zgodi v slabem času za Apple, saj jih je prisilil, da portal za razvijalce odpeljejo brez povezave, saj razvijalci pripravljajo aplikacije za iOS 7, ki bodo predvidoma izdane jeseni, " je dejal Sutton.