Gisteren vertelden we je dat Ibrahim Balic, een expert op het gebied van computerbeveiliging, een bug ontdekte waardoor hij toegang kreeg tot informatie van Apple-medewerkers, van applicatieontwikkelaars, maar ook van gewone gebruikers. De accounts van 73 Apple-werknemers en die van 100.000 iTunes-gebruikers werden benaderd door Balic via een kwetsbaarheid van het iAd-systeem ontworpen door Apple. Balic ontdekte de kwetsbaarheid op 18 juni, samen met dertien andere kwetsbaarheden die later naar Apple werden gestuurd. De beveiligingsexpert beweerde dat verzoeken die via iAd Workbench naar de servers van Apple worden gestuurd, gemakkelijk kunnen worden gemanipuleerd.
Het is echter jammer dat de video zo definitief leek: na het tonen van afbeeldingen van het neergehaalde Dev Center van Apple en de officiële reactie van het bedrijf, liet Balic vervolgens een hele reeks bestanden zien die volledige namen en e-mailadressen leken te bevatten. Het lijkt behoorlijk vernietigend, maar Balic zegt dat hij nooit rechtstreeks achter de Developer Center-site aan is gegaan, en dat al die gebruikersinformatie die hij benadrukte afkomstig was van de iAd Workbench. Twee afzonderlijke bugs maakten de weg vrij voor één zeer verwarrende video.
Op basis van deze iAd-kwetsbaarheid schreef Balic een Python-script waarmee hij alle gegevens kon verzamelen die gisteren in een videoclip waren gepresenteerd, dat wil zeggen de duizenden iTunes-accounts en die van Apple-medewerkers. Afgezien van deze kwetsbaarheid ontdekte Balic dat via een aanval van het XSS-type de portal voor ontwikkelaars kan worden uitgebuit. Hij bevestigde dat hij dit niet heeft gedaan. Hoewel hij om de kwetsbaarheden te bewijzen de gegevens van de ontwikkelaars heeft verkregen, beweert Balic dat deze niet afkomstig zijn van het Dev Center en dat hij geen andere gegevens van dat portaal heeft gehaald, Apple beweerde gisteren precies hetzelfde.
Tijdens ons gesprek bleef Balic volhouden dat hij alleen maar probeerde Apple te helpen. Op de vraag waarom hij al die gebruikersgegevens heeft gedownload in plaats van alleen maar de bug te melden, zegt Balic dat hij gewoon wilde zien hoe ‘diep’ hij kon gaan. Als hij kwaad had willen doen, zegt hij, zou hij niet alles hebben gerapporteerd wat hij vond. Voor wat het waard is, zegt hij ook dat hij nooit heeft geprobeerd iemands wachtwoord opnieuw in te stellen. Het verste dat hij ging was een e-mail sturen naar een van de adressen die hij had ontdekt en vragen of het echt de Apple ID van die persoon was. Balic kreeg geen reactie.
Ondanks de uitspraken van de ontwikkelaar zou Apple, als hij werkelijk verantwoordelijk is voor het sluiten van het Dev Center, juridische maatregelen tegen hem kunnen nemen en hem kunnen aanklagen voor de veroorzaakte problemen.
