Apple

Hackers descobrem falha no site Dev Center da Apple

12 Comentários

Um grupo de hackers descobriu uma vulnerabilidade no site Dev Center da Apple, que deixa o site vulnerável a ataques phishing. Caso a Apple não corrija rapidamente o problema, os seus utilizadores serão redireccionados para sites que contêm malware na tentativa de lhes roubarem as suas credenciais.

O Dev Center da Apple é o site onde os developers registados têm acesso às últimas versões beta do iOS e Mac OS X. Além disso é neste local que são divulgadas informações dedicadas aos programadores.

Segundo o site Cult of Mac, o YGN Ethical Hacker Group descobriu a vulnerabilidade no site que potencialmente permitirá ao atacante “redireccionar” os visitantes do Dev Center para páginas Web maliciosas na tentativa de roubar os dados pessoais. O grupo informou a Apple desta vulnerabilidade no dia 25 de Abril e no dia 27 desse mesmo mês a Apple afirmou ter recebido a informação, deixando uma nota onde dizia “Nós levamos muito a sério uma notificação de um possível problema de segurança”.

Até ao momento a Apple ainda estará a tentar resolver o problema descoberto por este grupo.

A Macworld explica a razão da perigosidade desta vulnerabilidade:

The specific hole related to the “vulnerable code portion in developer.apple.com,”according to the group, is called “URL Redirection to Untrusted Site (‘Open Redirect’).” This is described in Mitre’s data definitions of “Common Weakness Enumeration” as follows: “By modifying the URL value to a malicious site, an attacker may successfully launch a phishing scam and steal user credentials. Because the server name in the modified link is identical to the original site, phishing attempts have a more trustworthy appearance.”

The Mitre definition of the URL Redirect says it can allow an attack because “the user may then unwittingly enter credentials into the attacker’s web page” which would compromise the user’s sensitive information.

O grupo YGN Ethical Hacker descobriu também que esta falha está a ser orquestrada a partir da Birmânia e avisam que o grupo não usou a vulnerabilidade para fins ilegais. Em vez disso eles querem apenas chamar à atenção dos responsáveis dos sites para estas vulnerabilidades. Esperam com isto forçar a Apple a corrigir a falha sob a ameaça de divulgarem todas as informações relacionadas com a mesma.

These “issues” involve arbitrary URL redirect; cross-site scripting; and HTTP response splitting, with the “root cause” being the Arbitrary URL Redirect.

Em Março passado o grupo usou a mesma táctica com a empresa de segurança McAfee, que somente depois dos dados terem sido publicitados resolveu reparar a falha no seu serviço.

PUB
Autor: Vítor M.
Partilhar:
Tags:

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Instale o Firefox 5 no Ubuntu via PPA
Artigo anterior

Instale o Firefox 5 no Ubuntu via PPA
Próximo artigo

Lançamento do Kinect SDK Beta para PC ainda dá que falar!
PUB

Comentários

12

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Ricardo Elias
    Ricardo Elias

    Se a Apple esta’ a ter dificuldades em resolver o problema, entao deviam informar os que encontraram a falha e pedir que estes sejam mais pacientes e nao divulgem informacoes sobre a falha. Mas se a demora for por outros motivos, entao o grupo devia publicar a falha, para que outros aprendam sobre a falha e possam incluir nos seus sites, e forcar a Apple a corrigir o problema.

    “Security Through Obscurity” e’ sempre ma’ politica de Seguranca.

    Estes grupos de HACKERS e’ de louvar: encontram falhas, contactam os responsaveis e dao tempo para que o problema seja resolvido!

    PS: “O grupo YGN Ethical Hacker descobriu também que esta falha está a ser orquestrada a partir da Birmânia”

    Essa frase devia ser alterada de “esta’ a ser orquestrada a partir da Birmania” para algo “foi encontrada por um grupo da Birmania, que nao quer que a sua descoberta seja usado para fins ilegais”.

    “The group THAT DISCOVERED the flaw OPERATE from the country of Myanmar and claim THEY DON’T WANT the discoveries they make about vulnerabilities TO BE USED FOR ILLEGAL HACKING PURPOSES.”

    Fiquem Bem!

    Responder
    1. Avatar de Eduardo Pires
      Eduardo Pires

      “Estes grupos de HACKERS e’ de louvar: encontram falhas, contactam os responsaveis e dao tempo para que o problema seja resolvido! ”

      Não querendo achar-me de chico esperto, mas os Hackers fazem isso mesmo, descobrir falhas, agora os crackers já as descobrem e infiltram-se e destroem

      Se tiver errado alguem que me corrija

      Responder
      1. Avatar de Fábio Rocha
        Fábio Rocha

        Não eduardo, um hacker é tido como um espião, descobre as falhas, faz uso delas por exemplo para furto de informação. Um cracker tem por fim destruir/causar problemas no sistema.

        No conceito mais geral de hacker é aquele que de alguma forma usa falhas de segurança com algum fim especifico, isto engloba todos os subtipos.

        Quanto a esta falha, não é só a apple, isto é uma falha comum. Sendo na developers zone, até é menos grave, uma vez que por norma um developer está mais informado acerca de segurança. no entanto é uma falha que já devia ter sido corrigida.

        Responder
      2. Avatar de Ricardo Elias
        Ricardo Elias

        Estas correcto! No entanto, nos meios de comunicacao (jornais, tv, filmes, radio – nao oico mas duvido seja diferente, blogues sobre informatica, pplware incluido) nao ha’ nenhum interesse em usar os varios termos (lamer, script kiddie, cracker) e usam sempre Hacker, apenas porque da’ mais importancia ‘a noticia! Por isso, tenta-se relembrar aos demais que Hacker tambem significa grupos com boas intencoes. Principalmente, quando nos ultimos meses, so’ se fala de “Hackers” que infiltram servicos e roubam informacoes confidencias.

        “A person who enjoys exploring the details of programmable systems and how to stretch their capabilities, as opposed to most users, who prefer to learn only the minimum necessary”
        http://www.catb.org/jargon/html/H/hacker.html

        “One who breaks security on a system. Coined ca. 1985 by hackers in defense against journalistic misuse of hacker (q.v., sense 8).”
        http://www.catb.org/jargon/html/C/cracker.html

        Fiquem Bem!

        Responder
        1. Avatar de João Pinho
          João Pinho

          De uma forma muito simples, crackers e hackers sao totalmente diferentes e nao pela etica que possuem.

          A distinção correcta do que falavas é

          White Hat hackers -> que sao os bonzinhos.
          Black Hat hackers -> Destructivos.
          Gray Hat hackers -> o meio termo entre os 2 anteriores.

          Responder
          1. Avatar de Ricardo Elias
            Ricardo Elias

            As definicoes que inclui, veem dos que criaram ambas as palavras!

            Primeiro dizes que ambos sao diferentes mas nao por causa da etica. Mas quando defines tres sub-grupos de hackers, e’ baseado em etica (bem/mal). Black Hat Hacker e’ apenas outro nome para Cracker.

            Grey Hat Hacker define os que quando encontram/exploraram uma falha, informa os responsaveis, mas cobram pelo “servico”. Mesmo que existem varias definicoes, dependo do interesse do grupo que o define.

            Fiquem Bem!

  2. Avatar de daiquiri
    daiquiri

    A Apple que tire notas que se acontece alguma coisa com o iCloud..

    Responder
  3. Avatar de aver
    aver

    Pelos vistos primeiro avisam que há vulnerabilidades num site e se não foram corrigidas expõem-nas. A vulnerabilidade que encontraram no site da McAfee é do mesmo tipo, permite redireccionar o acesso a uma página.

    Interessante a explicação dos “Higiénicos Éticos” para não se darem a conhecer na Birmânia – iam ser imediatamente recrutados para os serviços secretos do país 😛

    http://www.computerworld.com.au/article/381587/hacker_group_defies…_u_law_defends_exposing_mcafee_website_vulnerabilities/

    Responder
  4. Avatar de STP
    STP

    Hmm, não é falha da Apple, é bug da internet!

    hahahahha

    Responder
  5. Avatar de Rogério
    Rogério

    O conceito Hacker hoje em dia é associado também àqueles que procuram e exploram vulnerabilidades até onde derem.

    Agora uma curiosidade, porque é que será que ainda não fizeram nenhum ataque, como por exemplo fizeram à Sony, à NASA? Certamente um ataque aos servidores da NASA seria de honrar, deve haver lá muitas informações que os hackers certamente iriam gostar que fossem expostas ao mundo, nem que fosse para vender e ganharem umas boas notas.
    Mas não o fazem e pouco provável o irão fazer, porque a probabilidade do ataque ser um sucesso é muito pequena.

    Agora atacar a Apple, para eles não lhes dava grande jeito, a não ser que eles soubessem que iriam encontrar algo que valesse a pena o trabalho. Uma vez que revelaram que existia vulnerabilidades, a conclusão a que se chega, é que, para aquele grupo, não existe nada no Apple Developer que seja interessante ou importante.

    Certamente que não foram os primeiros a descobrirem, mas foram os primeiros a revelarem que haviam falhas.

    Responder
    1. Avatar de Bruno
      Bruno

      pois muita gente associa hacker como cracker o k esta errado…
      mas falando agora sobre o tema em assim e melhor a apple corrigir essas falhas senao acontece como outras marcas vitimas de crackers

      Responder
  6. Avatar de aver
    aver

    Por falar em vulnerabilidades, a Symantec diz que o iOS é mais seguro que o Android, mas mesmo assim tem bastantes vulnerabilidades.
    Em 11 itens o iOS é melhor em 8 e o Android apenas em 1.
    http://www.appleinsider.com/articles/11/06/28/apples_ios_more_secure_than_googles_android_says_symantec.html

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.