Grupo hacker encontra vulnerabilidade em site da Apple
A menos que a Apple corrija essa suposta vulnerabilidade, o grupo ameaça liberar publicamente essas informações nos próximos dias por meio do mailing de segurança Full Disclosure. O grupo já adotou essa prática em março, quando considerou uma resposta lenta da empresa de segurança McAfee sobre problemas de vulnerabilidade encontrados em seu site. Após a divulgação dos dados, a McAfee reconheceu os problemas.
O YGN Ethical diz não querer que suas descobertas sobre vulnerabilidades sejam usadas para propósitos de ilegais, mas sim para estimular uma melhor segurança em sites comerciais. O grupo também afirma ter informado a Apple em 25/4 sobre as brechas no site para desenvolvedores.
Segundo o YGN, a empresa de Steve Jobs confirmou o recebimento da informação dois dias depois, dizendo “nós levamos muito a sério a informação de um potencial problema de segurança". Mas o grupo hacker acredita que até o momento a empresa ainda não corrigiu o maior problema identificado.
A brecha especificada é relacionada “a porções de código vulneráveis no apple.com para desenvolvedores”, segundo o grupo, e é chamada de “Redirecionamento de URL para um site não confiável (‘Redirecionamento aberto’).” Esse problema é descrito nas definições de dados “Enumeração de Vulnerabilidades Comuns” do MITRE (organização sem fins lucrativos dos EUA): “Ao modificar o valor da URL para um site nocivo, um invasor pode lançar com sucesso um phishing scam e roubar dados de usuários. Como o nome do servidor no link modificado é idêntico ao do site original, as tentativas de phishing possuem uma aparência mais confiável.”
Soluções para consertar uma vulnerabilidade desse tipo normalmente envolvem melhorar a validação de entrada ou alterar o site.O grupo hacker ameaça liberar três “problemas” específicos em breve se o site da Apple não for melhorado e solucionado de maneira satisfatória.
A Apple ainda não se manifestou sobre o caso.
Comentários