Proponha uma correção, faça uma sugestão
Hackers descobrem falha no site Dev Center da Apple
Um grupo de hackers descobriu uma vulnerabilidade no site Dev Center da Apple, que deixa o site vulnerável a ataques phishing. Caso a Apple não corrija rapidamente o problema, os seus utilizadores serão redireccionados para sites que contêm malware na tentativa de lhes roubarem as suas credenciais.
O Dev Center da Apple é o site onde os developers registados têm acesso às últimas versões beta do iOS e Mac OS X. Além disso é neste local que são divulgadas informações dedicadas aos programadores.
Segundo o site Cult of Mac, o YGN Ethical Hacker Group descobriu a vulnerabilidade no site que potencialmente permitirá ao atacante "redireccionar" os visitantes do Dev Center para páginas Web maliciosas na tentativa de roubar os dados pessoais. O grupo informou a Apple desta vulnerabilidade no dia 25 de Abril e no dia 27 desse mesmo mês a Apple afirmou ter recebido a informação, deixando uma nota onde dizia "Nós levamos muito a sério uma notificação de um possível problema de segurança".
Até ao momento a Apple ainda estará a tentar resolver o problema descoberto por este grupo.
A Macworld explica a razão da perigosidade desta vulnerabilidade:
The specific hole related to the “vulnerable code portion in developer.apple.com,”according to the group, is called “URL Redirection to Untrusted Site (‘Open Redirect’).” This is described in Mitre’s data definitions of “Common Weakness Enumeration” as follows: “By modifying the URL value to a malicious site, an attacker may successfully launch a phishing scam and steal user credentials. Because the server name in the modified link is identical to the original site, phishing attempts have a more trustworthy appearance.”
The Mitre definition of the URL Redirect says it can allow an attack because “the user may then unwittingly enter credentials into the attacker’s web page” which would compromise the user’s sensitive information.
O grupo YGN Ethical Hacker descobriu também que esta falha está a ser orquestrada a partir da Birmânia e avisam que o grupo não usou a vulnerabilidade para fins ilegais. Em vez disso eles querem apenas chamar à atenção dos responsáveis dos sites para estas vulnerabilidades. Esperam com isto forçar a Apple a corrigir a falha sob a ameaça de divulgarem todas as informações relacionadas com a mesma.
These “issues” involve arbitrary URL redirect; cross-site scripting; and HTTP response splitting, with the “root cause” being the Arbitrary URL Redirect.
Em Março passado o grupo usou a mesma táctica com a empresa de segurança McAfee, que somente depois dos dados terem sido publicitados resolveu reparar a falha no seu serviço.
Este artigo tem mais de um ano
Loading ...
Se a Apple esta’ a ter dificuldades em resolver o problema, entao deviam informar os que encontraram a falha e pedir que estes sejam mais pacientes e nao divulgem informacoes sobre a falha. Mas se a demora for por outros motivos, entao o grupo devia publicar a falha, para que outros aprendam sobre a falha e possam incluir nos seus sites, e forcar a Apple a corrigir o problema.
“Security Through Obscurity” e’ sempre ma’ politica de Seguranca.
Estes grupos de HACKERS e’ de louvar: encontram falhas, contactam os responsaveis e dao tempo para que o problema seja resolvido!
PS: “O grupo YGN Ethical Hacker descobriu também que esta falha está a ser orquestrada a partir da Birmânia”
Essa frase devia ser alterada de “esta’ a ser orquestrada a partir da Birmania” para algo “foi encontrada por um grupo da Birmania, que nao quer que a sua descoberta seja usado para fins ilegais”.
“The group THAT DISCOVERED the flaw OPERATE from the country of Myanmar and claim THEY DON’T WANT the discoveries they make about vulnerabilities TO BE USED FOR ILLEGAL HACKING PURPOSES.”
Fiquem Bem!
“Estes grupos de HACKERS e’ de louvar: encontram falhas, contactam os responsaveis e dao tempo para que o problema seja resolvido! ”
Não querendo achar-me de chico esperto, mas os Hackers fazem isso mesmo, descobrir falhas, agora os crackers já as descobrem e infiltram-se e destroem
Se tiver errado alguem que me corrija
Não eduardo, um hacker é tido como um espião, descobre as falhas, faz uso delas por exemplo para furto de informação. Um cracker tem por fim destruir/causar problemas no sistema.
No conceito mais geral de hacker é aquele que de alguma forma usa falhas de segurança com algum fim especifico, isto engloba todos os subtipos.
Quanto a esta falha, não é só a apple, isto é uma falha comum. Sendo na developers zone, até é menos grave, uma vez que por norma um developer está mais informado acerca de segurança. no entanto é uma falha que já devia ter sido corrigida.
Estas correcto! No entanto, nos meios de comunicacao (jornais, tv, filmes, radio – nao oico mas duvido seja diferente, blogues sobre informatica, pplware incluido) nao ha’ nenhum interesse em usar os varios termos (lamer, script kiddie, cracker) e usam sempre Hacker, apenas porque da’ mais importancia ‘a noticia! Por isso, tenta-se relembrar aos demais que Hacker tambem significa grupos com boas intencoes. Principalmente, quando nos ultimos meses, so’ se fala de “Hackers” que infiltram servicos e roubam informacoes confidencias.
“A person who enjoys exploring the details of programmable systems and how to stretch their capabilities, as opposed to most users, who prefer to learn only the minimum necessary”
http://www.catb.org/jargon/html/H/hacker.html
“One who breaks security on a system. Coined ca. 1985 by hackers in defense against journalistic misuse of hacker (q.v., sense 8).”
http://www.catb.org/jargon/html/C/cracker.html
Fiquem Bem!
De uma forma muito simples, crackers e hackers sao totalmente diferentes e nao pela etica que possuem.
A distinção correcta do que falavas é
White Hat hackers -> que sao os bonzinhos.
Black Hat hackers -> Destructivos.
Gray Hat hackers -> o meio termo entre os 2 anteriores.
As definicoes que inclui, veem dos que criaram ambas as palavras!
Primeiro dizes que ambos sao diferentes mas nao por causa da etica. Mas quando defines tres sub-grupos de hackers, e’ baseado em etica (bem/mal). Black Hat Hacker e’ apenas outro nome para Cracker.
Grey Hat Hacker define os que quando encontram/exploraram uma falha, informa os responsaveis, mas cobram pelo “servico”. Mesmo que existem varias definicoes, dependo do interesse do grupo que o define.
Fiquem Bem!
A Apple que tire notas que se acontece alguma coisa com o iCloud..
Pelos vistos primeiro avisam que há vulnerabilidades num site e se não foram corrigidas expõem-nas. A vulnerabilidade que encontraram no site da McAfee é do mesmo tipo, permite redireccionar o acesso a uma página.
Interessante a explicação dos “Higiénicos Éticos” para não se darem a conhecer na Birmânia – iam ser imediatamente recrutados para os serviços secretos do país 😛
http://www.computerworld.com.au/article/381587/hacker_group_defies…_u_law_defends_exposing_mcafee_website_vulnerabilities/
Hmm, não é falha da Apple, é bug da internet!
hahahahha
O conceito Hacker hoje em dia é associado também àqueles que procuram e exploram vulnerabilidades até onde derem.
Agora uma curiosidade, porque é que será que ainda não fizeram nenhum ataque, como por exemplo fizeram à Sony, à NASA? Certamente um ataque aos servidores da NASA seria de honrar, deve haver lá muitas informações que os hackers certamente iriam gostar que fossem expostas ao mundo, nem que fosse para vender e ganharem umas boas notas.
Mas não o fazem e pouco provável o irão fazer, porque a probabilidade do ataque ser um sucesso é muito pequena.
Agora atacar a Apple, para eles não lhes dava grande jeito, a não ser que eles soubessem que iriam encontrar algo que valesse a pena o trabalho. Uma vez que revelaram que existia vulnerabilidades, a conclusão a que se chega, é que, para aquele grupo, não existe nada no Apple Developer que seja interessante ou importante.
Certamente que não foram os primeiros a descobrirem, mas foram os primeiros a revelarem que haviam falhas.
pois muita gente associa hacker como cracker o k esta errado…
mas falando agora sobre o tema em assim e melhor a apple corrigir essas falhas senao acontece como outras marcas vitimas de crackers
Por falar em vulnerabilidades, a Symantec diz que o iOS é mais seguro que o Android, mas mesmo assim tem bastantes vulnerabilidades.
Em 11 itens o iOS é melhor em 8 e o Android apenas em 1.
http://www.appleinsider.com/articles/11/06/28/apples_ios_more_secure_than_googles_android_says_symantec.html