Los desarrolladores Apple, vulnerables a ataques de phishing
La página web de Apple para desarrolladores de Mac OS X, iPhone e iPad tiene una vulnerabilidad que podría facilitar ataques de phishing, según un grupo de hackers.
La vulnerabilidad de la página web de Apple podría permitir que un atacante especificara un enlace a otra página a través de un “redireccionamiento”, que podría simplificar los ataques de phishing. Así lo explica el YGN Ethical Hacker Group. Este grupo, dedicado a encontrar fallos de seguridad en páginas web, se supone que opera desde Myanmar.
A no ser que Apple resuelva la citada vulnerabilidad, el grupo afirma que lanzará información públicamente en los próximos días a través de la lista de correo de seguridad Full Disclosure.
Esta es la práctica que el grupo siguió en marzo, cuando se sintió frustrado por lo que consideró una lenta respuesta por parte de la firma de seguridad McAfee sobre un problema de vulnerabilidad que encontró en su página web. Una vez que el grupo publicó esto, McAfee reconoció los problemas.
Desde YGN Ethical Hacker Group afirman que no quieren que los descubrimientos que realizan sobre vulnerabilidades sean utilizados para propósitos ilegales, sino todo lo contrario, extender mejores prácticas de seguridad en páginas web comerciales. El grupo ha declarado haber informado a Apple en abril sobre los “problemas” que había descubierto en la página de desarrolladores. El grupo afirma que dos días después, Apple reconoció haber recibido la información, “tomamos la información de un potencial problema de seguridad muy seriamente”. Pero por ahora, YGN Ethical Hacker Group no cree que el principal agujero de seguridad encontrado esté siendo solucionado.
La solución para un problema de este tipo suele implicar la mejora de la validación de datos o, en caso contrario, cambiar la página web completamente. Desde YGN Ethical Hacking Group dicen que detallarán tres “problemas” específicos pronto si no se soluciona el problema según su criterio.
En abril, el YGN Ethical Hacker Group encontró un problema similar en la página web de Oracle, Java.com, pero Oracle lo solucionó en una semana e incluso dio las gracias al grupo por la información. En cualquier caso, e incluso teniendo en cuenta que la intención de este grupo secreto sea buena, la práctica de escaneos no autorizados para encontrar vulnerabilidades y evaluar las páginas web es altamente controvertida.
Eso es porque, al menos bajo la ley de Estados Unidos, un escaneo no autorizado para encontrar agujeros de seguridad se considera un ataque. En cualquier caso, en el pasado, YGN Ethical Hacker Group ha manifestado que los operadores de páginas web, especialmente en el campo de la seguridad y la alta tecnología, tienen una mayor responsabilidad para no permitir que sus páginas web se vean comprometidas y explotadas.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
You can follow any responses to this entry through the RSS 2.0 feed. Both comments and pings are currently closed.
Los comentarios están cerrados.