Adatbiztonságot is érintő hiba miatt áll az Apple fejlesztői központja – frissítve

Ez a cikk legalább 1 éve frissült utoljára. A benne szereplő információk a megjelenés idején pontosak voltak, de mára elavultak lehetnek.

Frissítés: a fejlesztői központ ismét elérhető

Az Apple nem közölt egyelőre további részleteket a történtekkel kapcsolatban, de tegnap éjszaka 23:53 körül végül visszatért a kényszerű “nyaralásról” a fejlesztői központ, bár egyes szolgáltatásai még mindig nem elérhetőek. Az egyes szolgáltatások állapotát az Apple egy külön oldalon jelzi:

devcenter_elerheto

Új iOS 7 beta verzió azóta sem érkezett, de természetesen megírjuk, ha igen.

***

Az Apple fejlesztői központja múlt hét csütörtök óta nem érhető el, karbantartásra hivatkozva, csak a nyitóoldal tölt be, de onnan továbblépni jelenleg nem lehet. Ez időnként megszokott, de nem szokott több napig tartani. Ma viszont közleményt is kitett a cég, amiben egy külső támadóra hivatkoznak, és egyelőre nem tudni, mikor válik ismét elérhetővé a portál.

A belépéskor a következő szöveg fogadja a fejlesztőket az oldalon:

devcenter_adatbiztonsagi_hiba

A fenti szöveg gyors fordítása a következő:

Múlt hét csütörtökön egy behatoló megpróbált bizalmas információkat megszerezni a rendszerünkből a regisztrált fejlesztőinkről a fejlesztői központon keresztül. Az érzékenyebb információk titkosítva vannak, és azokhoz nem lehet hozzáférni, de nem tudtuk kizárni annak a lehetőségét, hogy egyes fejlesztők nevéhez, postai és email címéhez nem fért-e hozzá a támadó. Emiatt az oldal elérhetőségét csütörtökön felfüggesztettük, és dolgozunk a hiba megoldásán.

Az ilyen és ehhez hasonló biztonsági fenyegetések elkerülése érdekében teljesen átvizsgáljuk a fejlesztői központ rendszereit, frissítjük a szervereinket, és újraépítjük az adatbázisokat. Elnézést kérünk azért a jelentős kényelmetlenségért, amit mindez okoz, és remélhetőleg hamarosan ismét elérhető lesz a fejlesztői portál.

Ha az Ön fejlesztői tagsága épp ez idő alatt járt volna le, azt meghosszabbítjuk, és az alkalmazása is megmarad az App Store-ban. Amennyiben bármi gondja van a fejlesztői fiókjával, kérjük, keressen minket.

Ezzel szemben úgy tűnik viszont, hogy egy Ibrahim Balic nevű török biztonsági kutató már órákkal a portál leállítása előtt jelentette a hibát az Apple-nek, akik viszont cserébe hackernek könyvelték el őt.

Balic hozzáfért több mint 100.000 felhasználó teljes nevéhez, Apple ID és email címeihez, valamint user ID-khoz. Az általa elért adatok viszont semmi mást nem tartalmaznak, így az esetleg megadott bankkártyaszámok vagy egyéb, sokkal érzékenyebb információk nem szivárogtak ki:

Balic konzekvensen állítja, hogy kizárólag kutatási célból csinálta az egészet, valamint hogy közölte az általa kihasznált hiba részleteit az Apple-lel, és hogy az így megszerzett információkat törölni fogja.

A techcrunch megkérdezte az Apple-t, és ők megerősítették, hogy csak fejlesztői fiókokat érint a történet, normál Apple ID-kat nem, valamint hogy bankkártya-adatokhoz nem fért így hozzá senki. Emellett a cég azt is közölte, hogy azért vártak 3 napot a hivatalos közleménnyel, mert azt próbálták megállapítani, hogy pontosan milyen adatokhoz férhetett hozzá a támadó. Emellett elmondta a képviselőjük azt is, hogy egyelőre nem lehet tudni, mikor válik újból elérhetővé a fejlesztői központ.

Többségünk számára ez nem sokat jelent, ugyanakkor fejlesztőként elég kellemetlen a dolog, mert így az alkalmazások frissítései sem küldhetőek be jelenleg, az iTunes Connect-be be lehet lépni ugyan, de az sem a már meglévő alkalmazásokat nem látja, sem új buildet nem tud beküldeni egyelőre. Ez utóbbi oka leginkább az, hogy így még a megszerzett adatokkal sem lehet más fejlesztő nevében egy esetleg módosított alkalmazás-frissítést beküldeni.

Ráadásul az iOS 7 negyedik bétája elvileg ma várható, már ha az Apple tartja a kéthetenkénti megjelenést. A fentiek alapján viszont az is elképzelhető, hogy csúszni fog a beta 4 is, hiszen a fejlesztők úgysem tudnának egyelőre hozzáférni a fejlesztői portálhoz.

Ezek még érdekelhetnek:


  1. @nanofan:
    Ha jól látom hozzá jutott a jelszavakhoz a csávó. Nem értem , hogy miért nincsen jobb dolga ennél.. remélem az ios7 beta 4 megjelenik ma ,mert nagyon várom!

  2. @nanofan: először is bemutatja, hogy ugye áll a devcenter, és ő már 19-én, hajnali 4:31-kor felvette nekik róla a hibajegyet, még azelőtt, hogy a devcentert az Apple lelőtte volna. aztán az látszik, hogy valami python script fut neki, és egymás után nyitja meg az egyes userek adatainak egy részét, amiket txt-be húzott le neki valami. a filezillás részből számomra úgy tűnik, hogy nem közvetlenül a saját gépéről fért hozzá az adatokhoz, hanem egy szerverén keresztül (esetleg a nagyobb sávszélesség miatt). arról viszont semmit nem mutat, hogy pontosan hogyan fért hozzá ezekhez az adatokhoz, viszont elköveti azt a hibát, hogy több emailcím is látszik, valamint a szervere címe, és az ott használt user, és a saját hotmail-es emailcíme is.

  3. @Patrik: a fejlesztőknek elsősorban nem az iOS build a lényeg, hanem a hozzá tartozó fejlesztői eszközök frissítése, amellett az OTA frissítés sok esetben nem megfelelő, és teljes restore kell, amit IPSW nélkül nem tudsz, hiszen az iTunes nem tölt le neked beta IPSW-t. ehhez is kell a devcenter elérés.

  4. @Patrik:

    Hát nem sajnos nem jött. Pedig baromira vártam én, nagyon kellett volna már ez a frissítés. Rohadjon meg az a fax aki felnyomta a servert , ezek az emberek több kárt okoznak mint amennyi hasznot hoz ez a dolog.

  5. @Patrik: ahogy írtam, várhatóan a devcenter elindulásáig nem valószínű, hogy lesz.

    @utomi: lehet, hogy most épp kellemetlen, de fejlesztőként legkevésbé sem baj, hogy az Apple vigyáz a neki megadott adataimra. ez csak azokat érinti talán érzékenyebben, akik nem fejlesztőként feltették napi használatra, és tapasztalják a hibákat. de hát ez ilyen, ezért is beta.

  6. @utomi: szerintem ezt gondold át… Az, hogy a fejlesztők pár órával, esetleg nappal később rakják fel az újabb bétát, elenyésző kényelmetlenség ahhoz képest, hogy feltörtek egy szervert, így hozzájutva adatokhoz. Az, hogy te (valószínűleg dev account nélkül) a figyelmeztetések ellenére egy beta verziót használsz a hétköznapokban, az Apple-nél -örülj neki- szerintem senkit nem érdekel. Ha érdekelne, már tiltották volna az AppleID-t.

  7. Ja és honnan veszem, hogy dev account nélkül? Ha lenne accountod, vissza mernéd rakni az iOS 6-ot, mert ha újra él a szerver, pattinthatod fel újra a 7-et. Így meg félted a kis b3-t, mert akár befoltozhatják az “ingyen” beta lehetőséget. Hozzáteszem: én is “ingyen” beta user vagyok, de nem a telefonon, amin akár az életem múlhat (mentő, tűzoltó hívása, stb), hanem iPaden. Itt crashelhet, max megy vissza a 6.

  8. Nos, ezért jó a jailbreak meg a cydiás fejlesztés… Én nagyon örülök, hogy semmilyen ilyen jellegű adatom nincs veszélyben, nomeg annak is, hogy a fejlesztésben nem hátráltat az ADC leállása.

  9. @szajlensz:

    Mellélőttél. Dev. acc.-om van és regisztrálva van az UDID is. Nem az egyébként a probléma, hogy az Apple védi a fejlesztőket mert úgy is kell. Nem is az Apple itt a hibás hanem az a kedves ember aki unatkozott és úgy gondolta mekkora jó móka már, hogy felhackeli a szervert. Egyszerűen szerintem sokkal több kárt okoz egy ilyen akció mint amennyi hasznot!

  10. @utomi: Azért van különbség ezen felnyomás és a lulzsec módszerei között, ha már károkozás szóba jött. Persze, kényelmetlen – de akár hallgathatott is volna, és fél év múlva csodálkozna mindenki, hogy milyen érdekes dolgok történnek az accokkal. (Mintha a bugticketig észre sem nagyon vettek volna semmit sem – “legjobb” esetben is lapítottak)

  11. Tudom, hogy nem idevág, de feltettem a beta3-at iphonnw 5-re, de nem tudom miért az LTE-t nem bírom működésre bírni. Valakinek van valami megoldása, vagy hasonló problémája?

  12. @fgery1988: LTE csak T-Mobile esetén van, a beta meg beta, nem napi használatra van. esetleg reset network settings, pláne, ha eddig folyamatosan csak frissítetted 6.x-ről indulva. ha utána sem megy, akkor tiszta restore.

    @taylortish: lett 10.9b4, frissítésként érkezett Software Update-ben, de más nem.

  13. @athis1975: az előző évek semmit nem jelentenek, össze-vissza időtartamok voltak, volt, hogy hosszabb, mint 2 hét, volt, hogy rövidebb. ameddig a fejlesztői központ nem elérhető, addig nem valószínű új beta, mert a fejlesztőknek elsősorban nem az iOS build a lényeg, hanem a hozzá tartozó fejlesztői eszközök frissítése, amihez kell a devcenter elérés.

    az iOS5 beta 4 például 2011. július 22-én érkezett, az iOS6 beta 4 pedig 2012. augusztus 6-án.

  14. Szerintem meg megvárják a hétfőt csak így karnak adtak ki az os x 10.9 developer preview 4-et mert így felborult a rend tehát ha hétfőn jön a beta 4 akkor mavericks dp 5 mar augusztus 5.en jöhet és az iOS 7 béta 5 az meg kb 12.-én tehát így felborul a rend nem tudom hogy ez nekik baj lesz-e

Írd le a véleményedet! (Moderációs elveinket ide kattintva olvashatod.)

Hozzászólás írásához be kell jelentkezned!