Video: iOS 14 Hands-On: Everything New! (Oktober 2024)
Mens den "indtrængende", der fik adgang til Apple Developer Center, viste sig at være bare en mærkelig penetrationstester, kan angreb på udviklerwebsteder få alvorlige konsekvenser ud over bare at stjæle personlige oplysninger.
Apple lukkede sin Mac-, iPhone- og iPad-udviklerwebsted sidste torsdag og sagde, at den udførte uplanlagt vedligeholdelse. Det gav ingen andre oplysninger, og udviklere blev mere og mere bekymrede over det langvarige driftsstop. Med portalen nede kunne disse udviklere ikke arbejde på ny kode, kontrollere status for deres eksisterende apps eller administrere deres konti.
"Sidste torsdag forsøgte en ubuden gæst at sikre personlige oplysninger om vores registrerede udviklere fra vores udviklerwebsted, " fortalte Apple endelig udviklere via e-mail søndag aften. Mens følsomme oplysninger blev krypteret og ikke fået adgang, sagde virksomheden "nogle udviklernavne, mailadresser og / eller e-mail-adresser kan have været adgang."
Ikke et ondsindet angreb?
Ibrahim Balic, en London-baseret penetrationstester, undtagede at blive kaldt en indtrængende. Virksomheder ansætter regelmæssigt Balic for at forsøge at finde sårbarheder i deres systemer, og han besluttede for nylig at tage et kig på Apples websteder. Han fandt 13 bugs i alt, som alle blev rapporteret ved hjælp af online bug reporter, sagde han. Fire timer efter hans sidste bugrapport blev portalen taget ned.
"Apple !! Dette er bestemt ikke et hackangreb !! Jeg er ikke en hacker, jeg gør sikkerhedsundersøgelser, " skrev Ibrahim Balic på Twitter.
Balic sagde, at Apple ikke havde svaret på sine fejlrapporter. "Jeg har ikke foretaget denne undersøgelse for at skade eller skade, " sagde han i en kommentar, der blev sendt på TechCrunch. Han oprettede en YouTube-video for at vise, hvordan han havde fået adgang til udvikleroplysninger, men tog den ned, efter at han indså, at han ikke havde skjult navnene og detaljerne for de enkelte udviklere.
Hvorfor målrette udviklere alligevel?
Balic har muligvis ikke tilsigtet noget ondsindet under hans skridt ind på Apples servere, men udviklere bliver i stigende grad målrettet. Canonical afslørede, at dets Ubuntu-fora blev brudt i løbet af weekenden. Disse angreb adskiller sig ikke fra angreb på andre websteder. Som i tidligere hændelser risikerer disse brugere nu for socialtekniske angreb som falske nulstillede adgangskoder. Angribere kan også forsøge at logge på andre steder med de stjålne legitimationsoplysninger.
Udviklerportaler er "hubs" med brugere fra mange forskellige organisationer, sagde Mike Lloyd, CTO for RedSeal Networks. Angriberen er muligvis ikke interesseret i de faktiske data, der er gemt på selve udviklerwebstedet, men snarere loginoplysningerne, der muligvis fungerer på andre sider, sagde Lloyd. "Hvis du kan gå på kompromis med kontooplysningerne på et hub-site, er oddset godt for, at du nu har gyldige login til et stort antal andre virksomheder, " sagde Lloyd.
Tidligere i år blev et iOS-udviklerforum kompromitteret og inficeret medarbejdere på Twitter, Facebook og andre med malware. Angribere, der er målrettet mod Apple-udviklerwebstedet, kunne være interesseret i at iværksætte vandhulangreb for at målrette udviklere mod andre virksomheder, sagde Lee Weiner, senior vicepræsident for produkter og teknik ved Rapid7.
Angribere med stjålne Apple-udviklerkonti vil være i stand til at uploade potentielt ondsindede applikationer under den kompromitterede udviklerens navn, sagde Michael Sutton, vicepræsident for sikkerhedsundersøgelser hos Zscaler.
Da kontiene har udviklerens underskrivelsescertifikat for godkendte apps, er der faren for, at angribere kan underskrive ondsindede apps ved hjælp af de legitime certifikater, sagde Tommy Chin, teknisk supportingeniør hos CORE Security. "Falske godkendte apps i Appstore vises, hvis Apple ikke holder portalen nede, før den er løst, " sagde Chin.
"Angrebet kommer på et dårligt tidspunkt for Apple, da det har tvunget dem til at tage udviklerportalen offline, da udviklere forbereder applikationer til iOS 7, der er beregnet til frigivelse i efteråret, " sagde Sutton.
