Сайт для разработчиков Apple уязвим для атак, заявляет группа хакеров
29.06.2011
Группа хакеров YGN Ethical Hacker Group обнаружила, что сайт для разработчиков ПО для компьютеров Mac, а также устройств на платформе iOS может быть атакован с помощью фишинга, сообщает издание Ars Technica.
Всего хакеры обнаружили три ошибки в коде страниц сайта developer.apple.com, которые, по данным хакеров, могут позволить злоумышленникам сначала перенаправить разработчика, пытающегося зайти в свою учетную запись на сервисе, на поддельную страничку, а потом похитить его логин и пароль и получить таким образом доступ не только к учетной записи на сайте для разработчиков, но и к аккаунту в iTunes (если для входа в защищенные паролями разделы сайтов Apple пользователь использует "единый пропуск" Apple ID).
"Уязвимость позволяет изменять значения URL и запускать таким образом практически невидимую фишинговую атаку", - заявили хакеры.
YGN Ethical Hacker Group утверждает, что обнаружила уязвимости и сообщила о них в Apple еще в апреле этого года. Представители компании связались с ними, поблагодарив за сообщение и отметив, что в компании очень серьезно относятся к сообщениям об ошибках в продуктах Apple, но с тех пор никаких изменений в коде сайта не произошло. Хакеры обещают, что если Apple не примет меры и не устранит обнаруженную ими уязвимость в ближайшее время, они опубликуют всю техническую информацию о ней в свободном доступе.
Словам YGN Ethical Hacker Group можно верить: ранее в этом году эта же группа обнаружила ряд уязвимостей в сайте антивирусной компании TrendMicro и точно так же сначала сообщила компании об ошибке в конфиденциальном порядке и лишь потом, не дождавшись ответа, опубликовала информацию. После публикации этих данных в TrendMicro признали наличие ошибок и устранили их.
