Se você é desenvolvedor, com certeza sabe que o Dev Center (portal de desenvolvedores da Apple) ainda está fora do ar. Os motivos para isso ainda não estão claros, ainda que o pesquisador de segurança Ibrahim Balic tenha assumido a autoria de “estudos” nos quais descobriu algumas brechas de segurança em serviços/ferramentas da Apple — desde 16 de junho, ele enviou 13 relatórios de bugs para a empresa.
O mais “grave” deles (#14488816) é relacionado ao iAd Workbench, uma nova ferramenta para anunciantes a qual dá muito mais flexibilidade e controle para anunciantes, permitindo otimizar suas campanhas com base em preferências de usuários, demografia, localização, downloads anteriores na iTunes Store e na App Store, entre outros fatores.
Através da brecha Balic descobriu que, se alguém manipular uma requisição enviada para o servidor que roda o Workbench, tem a possibilidade de tentar adicionar um novo usuário à conta. Fazendo isso, bastaria buscar alguns nomes/sobrenomes que o servidor então responde com o nome completo e endereço de email. Quando Balic entendeu isso, ele criou um script em Python para coletar alguns dados e depois publicou um vídeo no YouTube (já retirado) demonstrando tudo, no que chamamos de “prova de conceito”. Podemos concluir, então, que os nomes de desenvolvedores visualizados no vídeo foram coletados pela falha do Workbench, e não pelo Dev Center.
Por falar em Dev Center, o que aconteceu com ele, então? Balic relatou uma outra vulnerabilidade (#14461474) relacionada a armazenamento de ataque XSS. Explorando essa falha, o pesquisador turco de 25 anos afirmou que era possível coletar informações, mas que não chegou a fazer isso — depois de relatar o bug, ele partiu em busca de outras falhas. Ou seja, se levarmos em consideração que Balic está falando a verdade, podemos constatar que tem caroço nesse angu.
A Apple disse que os dados acessados são apenas de desenvolvedores. Balic, por outro lado, afirmou (e provou) que conseguiu também informações de usuários comuns. Não parece que estamos falando de duas coisas diferentes? Pois é. E essa é a grande suspeita de agora, a de que, na verdade, o grande problema que a Apple está enfrentando pode não ter uma ligação direta com Balic.
Se o pesquisador não “encostou” nas informações de desenvolvedores (Dev Center), por que a Apple está reconstruindo *toda* a sua base de dados? Pode até ser que a vulnerabilidade responsável pelo fechamento do portal (no momento da publicação deste post, o site ainda está fora do ar) seja a mesma descoberta por Balic, mas as ações deles parecem muito “pequenas” para a resposta que a Apple está dando (revisão completa dos sistemas de desenvolvimento, atualização do software de servidor e reconstrução completa do banco de dados).
Até o momento apenas Balic se manifestou, levantando a mão e gritando “Fui eu, mas eu não roubei os dados!” A Apple, por outro lado, afirmou que sofreu uma invasão e que está trabalhando para corrigir um monte de coisas, mas não apontou para o turco e disse, “Foi você!” Quando questionada sobre o assunto — e sobre a identidade do atacante —, a porta-voz da Maçã disse que *ainda* não pode comentar.
Ou Balic está mentindo e surripiou, sim, informações de desenvolvedores (mesmo que tenha se arrependido/não feito nada com isso), ou o problema é maior do que o imaginado. Vamos torcer para que, em breve, a Apple forneça mais informações sobre o caso.
[via TechCrunch, AllThingsD]
