Foarte multe site-uri ale marilor companii de pe glob au fost atacate in ultima vreme, unele au fost exploatate, altele urmeaza sa fie insa nu este surprinzator sa vedem si compania Apple in randul companiilor ale caror site-uri au brese in securitate. Un grup de hackeri a atentionat in luna aprilie compania Apple ca in site-ul dedicat dezvoltatorilor de aplicatii pentru iOS/Mac OS X exista o vulnerabilitate care ar putea fi folosita intr-un atac de tip phishing. De atunci si pana acum Apple nu a rezolvat problema iar grupul de hackerul ameninta ca va divulga vulnerabilitatea daca Apple nu o va rezolva in viitorul apropiat.
GN Ethical Hacker Group says it doesn’t want the discoveries it makes about vulnerabilities to be used for illegal hacking purposes, but to spur better security in commercial websites. The group says it informed Apple on April 25 about the “issues” it discovered at the developer site. The group says Apple on April 27 acknowledged the receipt of the information, saying, “We take the report of a potential security issue very seriously.” But as of yet, YGN Ethical Hacker Group does not believe the main security hole it identified has been fixed.
Desi Apple a recunoscut ca a primit informarea celor de la GN, pana acum nici o modificare nu a fost adusa site-ului dedicat dezvoltatorilor. Prin atacuri de tip phishing pot fi obtinute datele de logare ale dezvoltatorilor de aplicatii si oricine le are poate controla ce se intampla cu aplicatiile din App Store ale respectivului dezvoltator. Daca un asemenea atac ar fi folosit impotriva companiei Apple cred ca foarte multi ar pune la indoiala securitatea din spatele infrastructurii companiei.
Atacurile de tip phishing au succes numai dacă victima se lasă păcălită și-și divulgă cu naivitate datele de acces, ceea ce se întâmplă de regulă utilizatorilor cu cunoștințe tehnice limitate, care nu realizează păcăleala. Dezvoltatorii de aplicații, care sunt profesioniști în domeniul tehnic, nu cred că intră în categoria naivilor, deci sunt mai greu de păcălit prin phishing. De aceea, problemele cu site-ul destinat acestora probabil nu sunt chiar atât de grave și presupun că au prioritate mai redusă la rezolvare. 😐
Citeste sursa, e o smecherie care implica redirectionarea catre un server a carui domeniu poate fi facut sa arate precum cel original, e o smecherie interesanta.
pai asta inseamna phising, se rezolva usor cu un seal stiut doar de tine, de care dezvoltatorii de site-uri de phishing nu au cum sa stie
I bet this isnt phishing. Presupun ca este un XSS in site si respectivii hackeri au un cookie stealer cu care rezolva situatia. Nu au nevoie de user/parola/date personale pentru a face treaba, pur si simplu schimba cookie-ul si dupa aia …