Failles de sécurité sur le portail développeurs d'Apple [MàJ]
Selon le YGN Ethical Hacker Group, le portail développeurs d'Apple sera ouvert aux quatre vents : criblé de failles, il pourrait permettre à une personne mal intentionnée de mettre sur pied une opération de phishing.
« Criblé », le mot est peut-être fort, mais ce sont tout de même trois failles qui auraient été découvertes par ce groupe de hackers qui se veut bienveillant. Ces trois failles sont liées et ouvrent la porte à des redirections arbitraire, une séparation de réponse HTTP, et une attaque XSS. Un pirate pourrait donc diriger l'utilisateur vers un site malveillant sans que celui-ci ne puisse s'en rendre compte : l'adresse affichée serait toujours developer.apple.com. Il pourrait ensuite récupérer identifiant et mot de passe avec une page bien imitée, toujours sans se faire remarquer.
Apple aurait été alertée dès le 27 avril, mais n'aurait pas colmaté correctement ces failles. Oracle, averti dans le même temps pour des problèmes similaires, a réagi en une semaine et a remercié le groupe. YGN menace désormais de publier ses trouvailles sur une liste publique. Le portail développeurs d'Apple a été à plusieurs reprises injoignable ces dernières heures.
[MàJ] : le groupe de hackers a publié sur son blog le détail de ces différentes vulnérabilités. Apple a en effet maintenant réparé ces failles. Cependant, le calendrier donné par le YGN Ethical Hacker Group montre qu'entre le moment où il a signalé ces problèmes à Apple et celui où le nécessaire a été fait, il s'est écoulé deux bons mois.
« Criblé », le mot est peut-être fort, mais ce sont tout de même trois failles qui auraient été découvertes par ce groupe de hackers qui se veut bienveillant. Ces trois failles sont liées et ouvrent la porte à des redirections arbitraire, une séparation de réponse HTTP, et une attaque XSS. Un pirate pourrait donc diriger l'utilisateur vers un site malveillant sans que celui-ci ne puisse s'en rendre compte : l'adresse affichée serait toujours developer.apple.com. Il pourrait ensuite récupérer identifiant et mot de passe avec une page bien imitée, toujours sans se faire remarquer.
Apple aurait été alertée dès le 27 avril, mais n'aurait pas colmaté correctement ces failles. Oracle, averti dans le même temps pour des problèmes similaires, a réagi en une semaine et a remercié le groupe. YGN menace désormais de publier ses trouvailles sur une liste publique. Le portail développeurs d'Apple a été à plusieurs reprises injoignable ces dernières heures.
[MàJ] : le groupe de hackers a publié sur son blog le détail de ces différentes vulnérabilités. Apple a en effet maintenant réparé ces failles. Cependant, le calendrier donné par le YGN Ethical Hacker Group montre qu'entre le moment où il a signalé ces problèmes à Apple et celui où le nécessaire a été fait, il s'est écoulé deux bons mois.