Apple-website-hacker gebruikte iAds voor hack
Wouter Nijsen

De Turkse beveiligingsonderzoeker Ibrahim Balic heeft inmiddels al gemeld dat hij geen kwade bedoelingen had met zijn hack en heeft de voor zijn hack misbruikte bugs bij Apple achtergelaten. Deze zouden volgens de hacker onder andere in iAds zitten.

Afgelopen donderdag ging Apples Developer Center even offline vanwege ‘onderhoud’. Zondag erkende het bedrijf echter dat ze gehackt waren tegenover Apple-developers en de media. Hierbij zou volgens het bedrijf uit Cupertino geen persoonlijke data zijn buitgemaakt, maar de dreiging was wel groot genoeg om de hele zogeheten ‘backend’ van de website opnieuw in de steigers te zetten.

Gat in iAds bron van Apple-hack

Tegenover TechCrunch geeft Balic uitleg. Het beveiligingsprobleem zat in Apples iAd Workbench, een recent uitgekomen tool die ontwikkelaars hun iOS-apps beter van een campagne kan laten voorzien. Als je namelijk op een bepaalde manier een verzoek aan die Workbench manipuleert, is het mogelijk om allerlei informatie van andere gebruikers los te peuteren. Dit is wat de Turkse hacker aan het licht heeft gebracht.

Totdat Apple het lek definitief weet te dichten heeft Balic naar eigen zeggen toegang tot meer dan 100 duizend Apple Developer Center-accounts. Hij vond ook een andere kwetsbaarheid in het Developer Center zelf, maar zegt deze nog niet te hebben uitgeprobeerd. Apple heeft dus het geluk dat deze hacker in principe alleen wil helpen. Anders had het bedrijf wellicht een groter probleem gehad.