Video: Look, No Hands! -- The Remote, Interaction-less Attack Surface of the iPhone (Listopad 2024)
Zatímco se „vetřelec“, který přistupoval do Apple Developer Center, ukázal jako pouhý zvědavý penetrační tester, útoky proti webovým stránkám vývojářů mohou mít vážné důsledky, než pouhá krádež osobních údajů.
Společnost Apple minulý čtvrtek ukončila své webové stránky pro vývojáře počítačů Mac, iPhone a iPad a uvedla, že provádí neplánovanou údržbu. Neposkytlo žádné další informace a vývojáři se stále více obávali dlouhodobého výpadku. Se spuštěným portálem nemohli tito vývojáři pracovat na novém kódu, kontrolovat stav svých stávajících aplikací ani spravovat své účty.
„Minulý čtvrtek se vetřelec pokusil zabezpečit osobní informace našich registrovaných vývojářů z naší webové stránky pro vývojáře, “ řekl Apple vývojářům e-mailem v neděli večer. Přestože byly citlivé informace zašifrovány a nebylo k nim přistupováno, společnost uvedla, že „bylo možné přistupovat k některým vývojářským jménům, poštovním adresám nebo e-mailovým adresám.“
Nejedná se o škodlivý útok?
Ibrahim Balic, londýnský penetrační tester, využil výjimku z toho, že byl nazýván vetřelcem. Společnosti pravidelně pronajímají společnost Balic, aby se pokusily najít zranitelnost ve svých systémech, a nedávno se rozhodl podívat na stránky společnosti Apple. Celkem našel 13 chyb, z nichž všechny byly hlášeny pomocí online reportéru chyb. Čtyři hodiny po jeho poslední hlášení o chybě byl portál stažen.
"Apple! To rozhodně nejde o hackerský útok !! Nejsem hacker, dělám bezpečnostní výzkum, " napsal Ibrahim Balic na Twitteru.
Balic řekl, že Apple neodpověděl na jeho hlášení o chybách. „Tento výzkum jsem neudělal, abych poškodil nebo poškodil, “ řekl v komentáři zveřejněném na TechCrunch. Vytvořil video na YouTube, aby ukázal, jak přistupoval k informacím pro vývojáře, ale poté, co si uvědomil, že nezakryl jména a podrobnosti o jednotlivých vývojářích, je odstranil.
Proč přesto zacílit na vývojáře?
Balic možná během svého vpádu na servery Apple necítil nic škodlivého, ale vývojáři se stále více zaměřují. Canonical prozradil, že jeho fóra Ubuntu byla během víkendu porušena. Tyto útoky se neliší od útoků na jiných stránkách. Stejně jako v předchozích incidentech jsou tito uživatelé nyní ohroženi útoky v oblasti sociálního inženýrství, jako je falešné obnovení hesla. Útočníci se mohou také pokusit přihlásit na jiné weby s odcizenými přihlašovacími údaji.
Portály pro vývojáře jsou „uzly“ s uživateli z mnoha různých organizací, řekl Mike Lloyd, CTO společnosti RedSeal Networks. Útočník se nemusí zajímat o skutečná data uložená na samotném webu vývojáře, ale o přihlašovací údaje, které mohou fungovat na jiných webech, řekl Lloyd. "Pokud můžete kompromitovat údaje o účtu na rozbočovacím serveru, je pravděpodobné, že máte platné přihlašovací údaje pro velké množství dalších společností, " řekl Lloyd.
Začátkem tohoto roku bylo ohroženo fórum pro vývojáře iOS a infikováni zaměstnanci na Twitteru, Facebooku a dalších malwarem. Útočníci zaměřující se na vývojovou webovou stránku společnosti Apple by mohli mít zájem o zahájení útoků na zalévací jamky s cílem zaměřit se na vývojáře v jiných společnostech, řekl Lee Weiner, senior viceprezident pro produkty a strojírenství v Rapid7.
Útočníci s odcizenými účty vývojářů společnosti Apple budou moci pod ohroženým jménem vývojáře nahrávat potenciálně škodlivé aplikace, řekl Michael Sutton, viceprezident bezpečnostního výzkumu společnosti Zscaler.
Protože účty mají podepsaný certifikát vývojáře pro schválené aplikace, existuje nebezpečí, že útočníci mohou podepisovat škodlivé aplikace pomocí legitimních certifikátů, uvedl Tommy Chin, inženýr technické podpory společnosti CORE Security. "Falešné ověřené aplikace v Appstore se objeví, pokud Apple nezachová portál, dokud nebude opraven, " řekl Chin.
"Útok přichází ve špatném čase pro Apple, protože je donutil, aby offline portál vývojářů odpojil, protože vývojáři připravují aplikace pro iOS 7, naplánované na vydání na podzim, " řekl Sutton.
