Total Security - www.totalsecurity.com.br
Segurança
Terça - 28 de Junho de 2011 às 12:00

    Imprimir


O site da Apple para desenvolvedores de Mac OS X, iPhone e iPad possui uma vulnerabilidade que pode levar a ataques de phishing, de acordo com o grupo hacker YGN Ethical Hacker Group. Essa brecha no site da “maçã” poderia permitir a um invasor especificar um link para outro site por meio de um redirecionamento automático, facilitando os chamados ataques de phishing, segundo o grupo hacker. O Ethical, dedicado a encontrar falhas de segurança em sites, diz operar a partir de Mianmar.

A menos que a Apple corrija essa suposta vulnerabilidade, o grupo ameaça liberar publicamente essas informações nos próximos dias por meio do mailing de segurança Full Disclosure. O grupo já adotou essa prática em março, quando considerou uma resposta lenta da empresa de segurança McAfee sobre problemas de vulnerabilidade encontrados em seu site. Após a divulgação dos dados, a McAfee reconheceu os problemas.

O YGN Ethical diz não querer que suas descobertas sobre vulnerabilidades sejam usadas para propósitos de ilegais, mas sim para estimular uma melhor segurança em sites comerciais. O grupo também afirma ter informado a Apple em 25/4 sobre as brechas no site para desenvolvedores.

Segundo o YGN, a empresa de Steve Jobs confirmou o recebimento da informação dois dias depois, dizendo “nós levamos muito a sério a informação de um potencial problema de segurança". Mas o grupo hacker acredita que até o momento a empresa ainda não corrigiu o maior problema identificado.

A brecha especificada é relacionada “a porções de código vulneráveis no apple.com para desenvolvedores”, segundo o grupo, e é chamada de “Redirecionamento de URL para um site não confiável (‘Redirecionamento aberto’).” Esse problema é descrito nas definições de dados “Enumeração de Vulnerabilidades Comuns” do MITRE (organização sem fins lucrativos dos EUA): “Ao modificar o valor da URL para um site nocivo, um invasor pode lançar com sucesso um phishing scam e roubar dados de usuários. Como o nome do servidor no link modificado é idêntico ao do site original, as tentativas de phishing possuem uma aparência mais confiável.”

Soluções para consertar uma vulnerabilidade desse tipo normalmente envolvem melhorar a validação de entrada ou alterar o site.O grupo hacker ameaça liberar três “problemas” específicos em breve se o site da Apple não for melhorado e solucionado de maneira satisfatória.

A Apple ainda não se manifestou sobre o caso.






Comentários

Deixe seu Comentário

URL Fonte: http://www.totalsecurity.com.br/noticia/2522/visualizar/