Video: iOS 14 Hands-On: Everything New! (Marraskuu 2024)
Vaikka "tunkeilija", joka käytti Apple Developer Centeriä, osoittautui vain uteliaksi tunkeutumisen testaajaksi, hyökkäyksillä kehittäjäsivustoille voi olla vakavia seurauksia kuin vain henkilökohtaisten tietojen varastaminen.
Apple sulki viime torstaina Mac-, iPhone- ja iPad-kehittäjäsivustonsa ilmoittaen suorittavansa ajoittamattomia huoltotöitä. Se ei antanut muuta tietoa, ja kehittäjät olivat yhä huolestuneempia pitkittyneestä sähkökatkoksesta. Portaalin ollessa alhaalla, nämä kehittäjät eivät pystyneet käsittelemään uutta koodia, tarkistamaan nykyisten sovellustensa tilaa tai hallitsemaan tiliään.
"Viime torstaina tunkeilija yritti suojata rekisteröityneiden kehittäjien henkilökohtaisia tietoja kehittäjäsivustoltamme", Apple kertoi lopulta kehittäjille sähköpostitse sunnuntai-iltana. Vaikka arkaluonteisia tietoja oli salattu eikä niihin ollut pääsyä, yritys sanoi, että "joidenkin kehittäjien nimiin, postiosoitteisiin ja / tai sähköpostiosoitteisiin on saattanut saada yhteys".
Etkö ole vahingollinen hyökkäys?
Ibrahim Balic, lontoolainen levinneisyystesteri, teki poikkeuksen, että häntä kutsuttiin tunkeilijaksi. Yritykset palkkaavat säännöllisesti Balicia yrittämään löytää järjestelmiensä haavoittuvuuksia, ja hän päätti äskettäin katsoa Applen sivustoja. Hän löysi yhteensä 13 virhettä, joista kaikki ilmoitettiin verkkovirheentoimittajalla, hän sanoi. Neljä tuntia viimeisen virheraportinsa jälkeen portaali poistettiin.
"Apple !! Tämä ei todellakaan ole hakkerointihyökkäys! En ole hakkeri, teen turvallisuustutkimusta", Ibrahim Balic kirjoitti Twitterissä.
Balic sanoi, että Apple ei ollut vastannut virheraporteihin. "En tehnyt tätä tutkimusta vahingoittaa tai vahingoittaa", hän sanoi TechCrunchille lähetetyssä kommentissa. Hän loi YouTube-videon osoittaakseen, kuinka hän oli päässyt kehittäjätietoihin, mutta otti sen pois ymmärtäessään, että hän ei ollut hämärtänyt yksittäisten kehittäjien nimiä ja tietoja.
Miksi kohdentaa kehittäjiä joka tapauksessa?
Balic ei ehkä ole aikonut haittaohjelman aikana Applen palvelimille mitään haitallista, mutta kehittäjät kohdistuvat yhä enemmän. Canonical ilmoitti, että sen Ubuntun foorumeita rikottiin viikonloppuna. Nämä hyökkäykset eivät ole niin erilaisia kuin minkä tahansa muun sivuston hyökkäykset. Kuten aiemmissakin tapauksissa, nämä käyttäjät ovat nyt vaarassa sosiaalisen insinöörin hyökkäyksille, kuten väärennettyjen salasanojen nollaaminen. Hyökkääjät voivat myös yrittää kirjautua sisään muille sivustoille varastettujen valtuustietojen avulla.
Kehittäjäportaalit ovat "keskittymiä", joissa on käyttäjiä monista eri organisaatioista, kertoi Mike Lloyd, RedSeal Networksin tekninen johtaja. Hyökkääjää ei ehkä kiinnosta itse kehittäjäsivustoon tallennetut tiedot, vaan kirjautumistiedot, jotka voivat toimia muilla sivustoilla, Lloyd sanoi. "Jos voit vaarantaa tilitiedot keskittösivustolla, kertoimet ovat hyvät, että sinulla on nyt kelvollisia kirjautumisia monille muille yrityksille", Lloyd sanoi.
Aiemmin tänä vuonna iOS-kehittäjäfoorumi oli vaarantunut ja tartunnan saaneet Twitterin, Facebookin ja muiden työntekijät haittaohjelmilla. Applen kehittäjäsivustoon kohdistuvat hyökkääjät saattavat olla kiinnostuneita juottamaan reikähyökkäyksiä muiden yritysten kehittäjille, sanoo Rapid7: n tuotteiden ja tekniikan johtaja Lee Weiner.
Hyökkääjät, joilla on varastettu Applen kehittäjätilit, voisivat ladata mahdollisesti haitallisia sovelluksia vaarannetun kehittäjän nimellä, sanoi Zscalerin turvallisuustutkimuksen varapuheenjohtaja Michael Sutton.
Koska tileillä on kehittäjän allekirjoitussertifikaatti hyväksytyille sovelluksille, on vaarana, että hyökkääjät voivat allekirjoittaa haitallisia sovelluksia laillisilla varmenteilla, kertoo CORE Securityn teknisen tuen insinööri Tommy Chin. "Väärennetyt todennetut sovellukset Appstoressa ilmestyvät, jos Apple ei pidä portaalia alhaalla, kunnes se on korjattu", Chin sanoi.
"Hyökkäys tapahtuu Applelle huonoina aikoina, koska se on pakottanut heidät ottamaan kehittäjäportaalin offline-tilaan, koska kehittäjät valmistelevat sovelluksia iOS 7: ään, joka on tarkoitus julkaista syksyllä", Sutton sanoi.