Video: iOS 14 Hands-On: Everything New! (Oktober 2024)
Mens "inntrengeren" som fikk tilgang til Apple Developer Center viste seg å være bare en nysgjerrig penetrasjonstester, kan angrep mot utviklernettsteder ha alvorlige konsekvenser utover bare å stjele personlig informasjon.
Apple la ned sin Mac-, iPhone- og iPad-utviklernettsted forrige torsdag og sa at den utførte uplanlagt vedlikehold. Den ga ingen annen informasjon, og utviklerne ble stadig mer bekymret for det langvarige strømbruddet. Med portalen nede, kunne ikke disse utviklerne jobbe med ny kode, sjekke statusen til sine eksisterende apper eller administrere kontoene sine.
"Forrige torsdag forsøkte en inntrenger å sikre personlig informasjon om våre registrerte utviklere fra nettstedet vårt for utviklere, " sa Apple til slutt utviklere via e-post søndag kveld. Mens sensitiv informasjon var kryptert og ikke fikk tilgang, sa selskapet at "noen utviklernavn, postadresser og / eller e-postadresser kan ha blitt åpnet."
Ikke et ondsinnet angrep?
Ibrahim Balic, en London-basert penetrasjonstester, unntok å bli kalt en inntrenger. Selskaper ansetter regelmessig Balic for å prøve å finne sårbarheter i systemene sine, og han bestemte seg nylig for å ta en titt på Apples nettsteder. Han fant 13 feil totalt, som alle ble rapportert ved hjelp av online bug reporter, sa han. Fire timer etter hans siste feilrapport ble portalen tatt ned.
"Apple! Dette er definitivt ikke et hackangrep! Jeg er ikke en hacker, jeg gjør sikkerhetsundersøkelser, " skrev Ibrahim Balic på Twitter.
Balic sa at Apple ikke hadde svart på feilrapportene sine. "Jeg gjorde ikke denne forskningen for å skade eller skade, " sa han i en kommentar lagt ut på TechCrunch. Han opprettet en YouTube-video for å vise hvordan han hadde tilgang til utviklerinformasjon, men tok den ned etter å ha innsett at han ikke hadde tilslørt navnene og detaljene til de enkelte utviklerne.
Hvorfor målrette utviklere likevel?
Det kan hende at Balic ikke har ment noe ondsinnet under forsøket hans til Apples servere, men utviklerne blir stadig mer målrettet. Canonical avslørte at Ubuntu-foraene ble brutt i løpet av helgen. Disse angrepene er ikke så forskjellige fra angrep på andre nettsteder. Som i tidligere hendelser er disse brukerne nå utsatt for angrep på sosialt teknisk nivå, som falske tilbakestillinger av passord. Angripere kan også prøve å logge inn på andre nettsteder med stjålet legitimasjon.
Utviklerportaler er "knutepunkter" med brukere fra mange forskjellige organisasjoner, sa Mike Lloyd, CTO for RedSeal Networks. Angriperen er kanskje ikke interessert i de faktiske dataene som er lagret på selve utviklernettstedet, men snarere innloggingsinformasjon som kan virke på andre nettsteder, sa Lloyd. "Hvis du kan kompromittere kontoinformasjonen på en hub-side, er sjansen stor for at du nå har gyldige innlogginger for et stort antall andre selskaper, " sa Lloyd.
Tidligere i år ble et iOS-utviklerforum kompromittert og smittet ansatte på Twitter, Facebook og andre med skadelig programvare. Angripere som er rettet mot Apple-utviklernettstedet, kan være interessert i å sette i gang vannhullangrep for å målrette utviklere mot andre selskaper, sier Lee Weiner, senior visepresident for produkter og prosjektering ved Rapid7.
Angripere med stjålne Apple-utviklerkontoer vil kunne laste opp potensielt skadelige applikasjoner under den kompromitterte utviklerens navn, sa Michael Sutton, visepresident for sikkerhetsforskning ved Zscaler.
Siden kontoene har utviklerens signeringssertifikat for godkjente apper, er det faren for at angripere kan signere ondsinnede apper ved å bruke de legitime sertifikatene, sier Tommy Chin, teknisk supportingeniør i CORE Security. "Falske autentiserte apper i Appstore vil vises hvis Apple ikke holder portalen nede før den er løst, " sa Chin.
"Angrepet kommer på et dårlig tidspunkt for Apple, da det har tvunget dem til å ta utviklerportalen offline når utviklere forbereder applikasjoner for iOS 7, planlagt for utgivelse i høst, " sa Sutton.
