Twijfel groeit over claims van Apple Dev Center-hacker Ibrahim Balic

Britse security-onderzoeker Ibrahim Balic heeft iets uit te leggen: de e-mailadressen die hij door de Apple Dev Center-hack in handen kreeg, lijken verouderd of niet-bestaand.

iphone-dev-centerBritse site The Guardian heeft twijfels of Ibrahim Balic wel de indringer is, die ervoor zorgde dat het Apple Dev Center meer dan een week offline was. Charles Arthur, technologieredacteur van The Guardian kreeg inzicht in 19 e-mailadressen die Balic had onderschept. De redacteur noteerde ook nog eens 10 e-mailadressen die in een YouTube-filmpje te zien waren en besloot om deze mensen eens te benaderen, om te vragen wat ze van de Dev Center-hack hadden gemerkt. Bij 7 van de 29 e-mailadressen leverde dat een foutmelding op, omdat het e-mailadres helemaal niet (meer) bestaat. En van de 29 personen die The Guardian benaderde was er geen eentje die reageerde op een verzoek om meer informatie. Nog gekker is dat de e-mailadressen ook niet te traceren zijn naar namen op internet – iets wat je niet zou verwachten bij ontwikkelaars die actief hun apps aan de man proberen te brengen.


De meeste e-mailadressen verwijzen naar niet meer bestaande providers, zoals Freeserve, Demon en SBC Global. Om één voorbeeld eruit te pikken: Freeserve fuseerde in 2000 met Wanadoo en voerde daarna tweemaal een naamswijziging door. Het zou onlogisch zijn als een ontwikkelaar (toch een tech-savvy groep) 8 jaar later nog steeds gebruik maakt van zo’n verouderd adres. Het inschrijven als iOS-ontwikkelaar was bij Apple kon pas vanaf 2008. Het is best mogelijk, maar het maakt de zaak van Balic wel wat ongeloofwaardiger. Het zou kunnen gaan om adressen van Mac-ontwikkelaars, maar ook dan zijn ze sterk verouderd.

Ook Graham Cluley, die al eerder aan het woord kwam op iPhoneclub bij de Viber-hack, vindt het vreemd: “Veel van de namen en e-mailadressen zien eruit alsof ze niet van Apple-ontwikkelaars zijn of hebben elders op het net geen sporen achtergelaten.” Hij spreekt over ghost e-mailadressen van jaren geleden. Hij vermoedt dat alleen Balic weet, waarom hij ze in een video heeft opgenomen.

developer-center-down

Ook op een ander punt is er scepsis, namelijk de manier waarop Balic toegang zegt te hebben gekregen tot de gegevens. Apple haalde het Dev Center op donderdag 18 juli offline. Ibrahim Balic claimde op zondag dat hij de veroorzaker was van de hack. Balic’s bewering dat hij zwakheden in het Developer Center heeft ontdekt en aan Apple gerapporteerd, kloppen misschien wel, maar toch lijkt er iets aan de hand. Balic zegt toegang te hebben gekregen tot de site developer.apple.com en kon vervolgens data van 100.000 mensen in handen krijgen. Het ging daarbij om geregistreerde ontwikkelaars. De securityonderzoeker rapporteerde gegevens van 73 mensen aan Apple, om aan te tonen dat hij toegang had gekregen. Volgens Balic gebruikte hij een cross-site scriptingbug (XSS) om toegang te krijgen tot de site. In totaal rapporteerde hij tussen 16 en 20 juli maar liefst 13 kwetsbaarheden aan Apple. Dat kan zijn, maar The Guardian merkt op dat je voor een XSS-aanval een pagina moet infecteren met kwaadaardige Javascript of HTML-code.

Maar in een interview met de website iMore vertelde Balic dat de namen in de video niet afkomstig waren van een exploit in het Dev Center, maar uit iAd Workbench, het advertentiesysteem van Apple. Manipulatie van het commando waarmee je informatie opvraagt van de webpagina zorgden ervoor dat Balic meer informatie kon onderscheppen, zoals naam, gebruikersnaam en e-mailadres. Met een script zorgde Balic ervoor dat willekeurige gebruikersnamen werden opgevraagd. Zodra er een match was met een werkelijk bestaande gebruikersnaam, verscheen de informatie in beeld. Maar op een vraag van The Guardian waarom de e-mailadressen verouderd of niet-bestaand waren, wilde Balic niet reageren.

Inmiddels is het Dev Center weer online. Het voorval heeft er waarschijnlijk voor gezorgd dat de vierde beta van iOS 7 niet op de verwachte dag (maandag 22 juli) beschikbaar kwam. Het wachten is nu op een mogelijke nieuwe beta op maandag 29 juli.

Reacties: 2 reacties

Reacties zijn gesloten voor dit artikel.