Videó: ARKit: 360 Degree Video Portal (November 2024)
Noha az Apple Developer Centerbe bejutó "betolakodó" csak egy kíváncsi penetrációs tesztelõnek bizonyult, addig a fejlesztõi webhelyek elleni támadásoknak a személyes adatok ellopása mellett súlyos következményekkel is járhatnak.
Az Apple múlt csütörtökön leállította Mac, iPhone és iPad fejlesztői webhelyét, mondván, hogy nem tervezett karbantartást végez. Nem szolgáltatott más információt, és a fejlesztők egyre inkább aggódtak a meghosszabbított leállás miatt. Ha a portál nem működik, ezek a fejlesztők nem tudtak új kódot dolgozni, ellenőrizni a meglévő alkalmazások állapotát, vagy kezelni a fiókokat.
"Múlt csütörtökön egy betolakodó megkísérelt regisztrált fejlesztőink személyes adatait a fejlesztői weboldalunkon keresztül biztosítani." - mondta az Apple végül a fejlesztőknek vasárnap este e-mailben. Miközben az érzékeny információkat titkosították és azokhoz nem volt hozzáférés, a vállalat szerint "egyes fejlesztők neveire, levelezési címeire és / vagy e-mail címeire már hozzáférhettek".
Nem rosszindulatú támadás?
Ibrahim Balic, a londoni székhelyű penetrációs tesztelő kivételt tett, hogy betolakodónak hívják. A vállalatok rendszeresen bérbeadják a Balic-ot, hogy megkíséreljék felfedezni rendszerük sebezhetőségét, és a közelmúltban úgy döntött, hogy átnézi az Apple webhelyeit. Összesen 13 hibát talált, amelyek mindegyikét az online hibajelentő segítségével jelentették be. Négy órával az utolsó hibajelentés után a portált leállították.
"Apple !! Ez határozottan nem egy hackertámadás! Nem vagyok hackeres, biztonsági kutatásokat végezek" - írta Ibrahim Balic a Twitter-en.
Balic szerint az Apple nem válaszolt a hibajelentéseire. "Nem azért végeztem el ezt a kutatást, hogy ártalmak vagy károk legyenek" - mondta a TechCrunch-ra írt megjegyzésében. Készített egy YouTube-videót, amely megmutatta, hogyan jutott el a fejlesztői információkhoz, de levette azt, miután rájött, hogy még nem takarja el az egyes fejlesztők nevét és részleteit.
Egyébként miért célozza a fejlesztőket?
Balic valószínűleg nem szándékozott semmi rosszindulatú becsapódása során az Apple szervereire, ám a fejlesztőket egyre inkább megcélozzák. A Canonical közzétette, hogy az Ubuntu fórumait hétvégén megsértették. Ezek a támadások nem különböznek annyira más webhelyek támadásaitól. Mint a korábbi eseményekben is, ezeket a felhasználókat most veszélyezteti a szociális mérnöki támadások, például a hamis jelszó visszaállítása. A támadók a lopott hitelesítő adatokkal is megpróbálhatnak bejelentkezni más webhelyekre.
Mike Lloyd, a RedSeal Networks vezetője, a fejlesztői portálok "csomópontok", amelyekben sokféle szervezet felhasználója van. Lehet, hogy a támadót nem érdekli a fejlesztő webhelyén tárolt tényleges adatok, hanem inkább a bejelentkezési adatok, amelyek más webhelyeken működhetnek - mondta Lloyd. "Ha veszélyeztetheti a számla részleteit egy hub webhelyen, akkor jó az esély, hogy sok más vállalat számára érvényes bejelentkezési adatokkal rendelkezik" - mondta Lloyd.
Ez év elején egy iOS fejlesztői fórumot veszélyeztettek, és a Twitter, a Facebook és más alkalmazottak fertőzöttek rosszindulatú programokkal. Az Apple fejlesztői oldalát megcélzó támadók érdeklődhetnek az öntözőlyukak támadásainak elindítása iránt, hogy más vállalatok fejlesztőit célozzák meg - mondta Lee Weiner, a Rapid7 termék- és műszaki alelnöke.
Az ellopott Apple fejlesztői fiókkal rendelkező támadók képesek lesznek feltölteni potenciálisan rosszindulatú alkalmazásokat a veszélyeztetett fejlesztő neve alatt - mondta Michael Sutton, a Zscaler biztonsági kutatási alelnöke.
Mivel a fiókoknak megvan a fejlesztői aláírási tanúsítványuk a jóváhagyott alkalmazásokhoz, fennáll annak a veszélye, hogy a támadók rosszindulatú alkalmazásokat írhatnak alá a legális tanúsítványok felhasználásával - mondta Tommy Chin, a CORE Security műszaki támogatási mérnöke. "Az Appstore hamis hitelesített alkalmazásai akkor jelennek meg, ha az Apple nem tartja le a portált, amíg nem javítja" - mondta Chin.
"A támadás rossz időben érkezik az Apple számára, mivel arra kényszerítette őket, hogy offline állapotba hozzák a fejlesztői portált, mivel a fejlesztők az iOS 7 alkalmazásokat készítik, amelyek ősszel kiadásra kerülnek" - mondta Sutton.
