Video: Apple M1 Mac Review: Time to Recalibrate! (Desember 2024)
Sementara "penyusup" yang mengakses Pusat Pengembang Apple ternyata hanyalah penguji penetrasi yang penasaran, serangan terhadap situs pengembang dapat memiliki konsekuensi serius di luar hanya mencuri informasi pribadi.
Apple menutup Situs Web pengembang Mac, iPhone, dan iPadnya Kamis lalu, dengan mengatakan pihaknya melakukan pemeliharaan yang tidak terjadwal. Itu tidak memberikan informasi lain, dan pengembang semakin khawatir tentang pemadaman berkepanjangan. Dengan portal tidak aktif, pengembang ini tidak dapat mengerjakan kode baru, memeriksa status aplikasi mereka yang ada, atau mengelola akun mereka.
"Kamis lalu, seorang penyusup berusaha untuk mengamankan informasi pribadi pengembang terdaftar kami dari situs web pengembang kami, " Apple akhirnya mengatakan kepada pengembang melalui email Minggu malam. Sementara informasi sensitif dienkripsi dan tidak diakses, perusahaan mengatakan "beberapa nama pengembang, alamat surat, dan / atau alamat email mungkin telah diakses."
Bukan Serangan Berbahaya?
Ibrahim Balic, seorang penguji penetrasi yang berbasis di London, mengambil pengecualian untuk disebut penyusup. Perusahaan secara teratur menyewa Balic untuk mencoba menemukan kerentanan dalam sistem mereka, dan dia baru-baru ini memutuskan untuk melihat situs Apple. Dia menemukan total 13 bug, yang semuanya dilaporkan menggunakan reporter bug online, katanya. Empat jam setelah laporan bug terakhirnya, portal diturunkan.
"Apple !! Ini jelas bukan serangan hack !! Saya bukan hacker, saya melakukan riset keamanan, " tulis Ibrahim Balic di Twitter.
Balic mengatakan Apple tidak menanggapi laporan bug-nya. "Saya tidak melakukan penelitian ini untuk membahayakan atau merusak, " katanya dalam komentar yang diposting di TechCrunch. Dia membuat video YouTube untuk menunjukkan bagaimana dia mengakses informasi pengembang, tetapi menghapusnya setelah menyadari bahwa dia tidak mengaburkan nama dan detail masing-masing pengembang.
Mengapa Target Pengembang?
Balic mungkin tidak bermaksud sesuatu yang jahat selama perampokannya ke server Apple, tetapi pengembang semakin menjadi sasaran. Canonical mengungkapkan bahwa forum Ubuntu-nya dilanggar pada akhir pekan. Serangan-serangan ini tidak jauh berbeda dari serangan di situs lain mana pun. Seperti pada insiden sebelumnya, pengguna ini sekarang berisiko terhadap serangan rekayasa sosial seperti pengaturan ulang kata sandi palsu. Penyerang juga dapat mencoba masuk ke situs lain dengan kredensial curian.
Portal pengembang adalah "hub" dengan pengguna dari berbagai organisasi, kata Mike Lloyd, CTO dari RedSeal Networks. Penyerang mungkin tidak tertarik dengan data aktual yang disimpan di situs pengembang itu sendiri, melainkan kredensial login yang mungkin berfungsi di situs lain, kata Lloyd. "Jika Anda dapat mengkompromikan detail akun pada situs hub, kemungkinan besar Anda sekarang memiliki login yang sah untuk sejumlah besar perusahaan lain, " kata Lloyd.
Awal tahun ini, sebuah forum pengembang iOS dikompromikan dan menginfeksi karyawan di Twitter, Facebook, dan lainnya dengan malware. Penyerang yang menargetkan situs pengembang Apple mungkin tertarik meluncurkan serangan lubang air ke pengembang target di perusahaan lain, kata Lee Weiner, wakil presiden senior produk dan teknik di Rapid7.
Penyerang dengan akun pengembang Apple yang dicuri akan dapat mengunggah aplikasi yang berpotensi berbahaya dengan nama pengembang yang dikompromikan, kata Michael Sutton, wakil presiden penelitian keamanan di Zscaler.
Karena akun memiliki sertifikat tanda tangan pengembang untuk aplikasi yang disetujui, ada bahaya bahwa penyerang dapat menandatangani aplikasi jahat menggunakan sertifikat yang sah, kata Tommy Chin, insinyur dukungan teknis di CORE Security. "Aplikasi palsu yang diautentikasi di Appstore akan muncul jika Apple tidak menurunkan portal sampai diperbaiki, " kata Chin.
"Serangan itu datang pada saat yang buruk bagi Apple karena telah memaksa mereka untuk membuat portal pengembang offline karena pengembang sedang mempersiapkan aplikasi untuk iOS 7, dijadwalkan untuk rilis pada musim gugur, " kata Sutton.