פורטל אפל לתקוף לא זדוני, אך מפתחים עדיין יעד

בעוד ש"הפורץ "שניגש למרכז המפתחים של אפל התגלה כבחן חדירה סקרן בלבד, לתקיפות על אתרי מפתחים יכולות להיות השלכות חמורות מעבר לגניבת מידע אישי בלבד.

אפל סגרה את אתר האינטרנט של מפתח ה- Mac, iPhone ו- iPad ביום חמישי האחרון, ואמרה כי היא מבצעת תחזוקה בלתי מתוכננת. הוא לא סיפק מידע אחר, והמפתחים חששו יותר ויותר מההפסקה הממושכת. עם הפורטל למטה, מפתחים אלה לא יכלו לעבוד על קוד חדש, לבדוק את מצב האפליקציות הקיימות שלהם או לנהל את החשבונות שלהם.

"ביום חמישי שעבר, פורץ ניסה לאבטח מידע אישי של המפתחים הרשומים שלנו מאתר המפתחים שלנו", אמרה אפל סוף סוף למפתחים באמצעות דואר אלקטרוני ביום ראשון בערב. בעוד שמידע רגיש הוצפן ולא הושגה לגישה אליו, אמרה החברה כי "ניתן היה לגשת לשמות של מפתחים, כתובות דואר ו / או כתובות דוא"ל."

לא התקפה זדונית?

איברהים באליץ ', בוחן חדירה מבוסס לונדון, יוצא מהכלל מכונה פולש. חברות שוכרות באופן קבוע את Balic כדי לנסות למצוא פגיעויות במערכות שלהן, והוא לאחרונה החליט להציץ באתרי אפל. הוא מצא 13 באגים בסך הכל, שכולם דווחו באמצעות כתב הבאגים המקוון. ארבע שעות לאחר דיווח הבאגים האחרון שלו, הפורטל הוסר.

"אפל !! זו בהחלט לא התקפת פריצות !! אני לא האקר, אני עושה מחקרי אבטחה", כתב איברהים באליץ 'בטוויטר.

באליץ 'אמר כי אפל לא הגיבה לדיווחי הבאג שלו. "לא עשיתי את המחקר הזה כדי לפגוע או לפגוע", אמר בתגובה שפורסמה ב- TechCrunch. הוא יצר סרטון יוטיוב כדי להראות כיצד הוא ניגש למידע על מפתחים, אך הוריד אותו לאחר שהבין שהוא לא העלה את שמם ופרטי המפתחים הבודדים.

מדוע למקד למפתחים בכל מקרה?

Balic אולי לא התכוון למשהו זדוני במהלך ההפעלה שלו לשרתים של אפל, אך מפתחים ממוקדים יותר ויותר. קנוניקל חשפה כי הפורומים של אובונטו הופרו במהלך סוף השבוע. התקפות אלה אינן שונות כל כך מההתקפות באתר אחר. כמו באירועים קודמים, משתמשים אלו נמצאים כעת בסיכון להתקפות הנדסיות חברתיות כמו איפוס סיסמא מזויף. התוקפים עשויים גם לנסות להתחבר לאתרים אחרים עם האישורים הגנובים.

פורטלים למפתחים הם "רכזות" עם משתמשים מארגונים רבים ושונים, אמר מייק לויד, סמנכ"ל הכספים של RedSeal Networks. ייתכן שהתוקף לא מעוניין בנתונים בפועל המאוחסנים באתר המפתח עצמו, אלא בתעודות הכניסה שעשויות לעבוד באתרים אחרים, אמר לויד. לויד אמר כי "אם אתה יכול להתפשר על פרטי החשבון באתר רכזת, הסיכויים טובים שיש לך כעת כניסות חוקיות למספר גדול של חברות אחרות.

מוקדם יותר השנה, פורום מפתחים של iOS נפגע והעסיק עובדים בטוויטר, בפייסבוק ואחרים עם תוכנות זדוניות. תוקפים הממקדים לאתר המפתחים של אפל עשויים להיות מעוניינים לפתוח בהתקפות של חור מים למיקוד למפתחים בחברות אחרות, אמר לי ויינר, סגן נשיא בכיר למוצרים והנדסה ב- Rapid7.

תוקפים עם חשבונות מפתח שגנבו של אפל יוכלו להעלות אפליקציות שעלולות להיות זדוניות תחת שם המפתח שנפגע, אמר מייקל סאטון, סגן נשיא למחקר אבטחה ב- Zscaler.

מכיוון שבחשבונות יש אישור חתימה של היזם עבור אפליקציות מאושרות, יש סכנה שתוקפים עלולים לחתום על אפליקציות זדוניות תוך שימוש בתעודות הלגיטימיות, אמר טומי צ'ין, מהנדס התמיכה הטכנית ב- CORE Security. "אפליקציות אימות מזויפות באפסטור יופיעו אם אפל לא תשאיר את הפורטל עד שייקבע", אמרה צ'ין.

"ההתקפה באה בזמן רע עבור אפל מכיוון שהיא אילצה אותם להעביר את פורטל המפתחים במצב לא מקוון, שכן מפתחים מכינים יישומים ל- iOS 7 המיועדים לשחרור בסתיו", אמר סאטון.