Хакеры обнаружили потенциальные дыры в безопасности сайта Apple для разработчиков

Хакерская группировка, которая называет себя «YGN Ethical Hacker Group», определила потенциальные дыры в безопасности сайта Apple для разработчиков Mac и iOS. Эти дыры могут позволить злоумышленникам использовать ресурс Apple Developer Connection для фишинговых атак с целью получения доступа к логинам и паролям пользователей.

В соответствии с информацией, полученной от сайта Networkworld, хакеры обнаружили три потенциальные бреши в безопасности сайта, включая произвольные перенаправления URL, межсайтовый скриптинг, а также атаки типа HTTP response splitting. В частности, возможность произвольного перенаправления на другие URL может сделать фишинговые атаки против разработчиков успешными.

„С помощью перенаправления URL на сайт злоумышленника, атакующий может запустить фишинговую аферу и украсть личные данные пользователя”, — говорят хакеры из YGN Ethical Hacker Group. „А так как имя сервера в видоизмененной ссылке идентично исходному сайту, то попытки фишинга будут иметь более заслуживающий доверия вид”. Другими словами, даже если перенаправление заставит пользователей оказаться на сайте злоумышленника, исходной ссылкой будет являться developer.apple.com.

Так как разработчики используют свои ID для доступа в защищенные паролем зоны сайта Apple, такие как форумы, раздел бета-версий операционных систем и раздел набора средств для разработки ПО, то удавшаяся фишинговая атака может дать хакерам доступ к iTunes-аккаунту пользователя, покупкам в iTunes и многому другому. Если адрес электронной почты действителен, то хакеры могут также попытаться получить доступ к ней, взломав пароль.

Хакеры из YGN Ethical Hacker Group заявляют, что они предупредили компанию Apple о проблеме в конце апреля, и что она быстро сообщила о получении отчета. „Мы восприняли ваш отчет о потенциальных проблемах безопасности очень серьезно”, — компания Apple ответила YGN Ethical Hacker Group. Но, как бы то ни было, не похоже, чтобы Apple закрыла возможные бреши в безопасности.

Чтобы побудить Apple к действиям, хакеры из YGN Ethical Hacker Group заявили, что обнародуют результаты своего исследования в рассылке по безопасности Full Disclosure в течение нескольких дней.