Михал Ждански Почти тревожно е колко дълго Apple остави своите потребители, по-специално всички, които използват App Store, изложени на потенциалната опасност от некриптирана комуникация между App Store и сървърите на компанията. Едва сега Apple започна да използва HTTPS, технология, която криптира потока от данни между устройството и App Store.
Изследователят на Google Elie Bursztein съобщи за проблема в петък blogu. Още през юли миналата година той откри няколко уязвимости в сигурността на Apple в свободното си време и ги докладва на компанията. HTTPS е стандарт за сигурност, който се използва от години и осигурява криптирана комуникация между краен потребител и уеб сървър. Обикновено не позволява на хакер да прихваща комуникации между две крайни точки и да извлича чувствителни данни, като пароли или номера на кредитни карти. В същото време той проверява дали крайният потребител не комуникира с фалшивия сървър. Уеб стандартът за сигурност се прилага от известно време например от Google, Facebook или Twitter.
Според публикацията в блога на Bursztein част от App Store вече е защитена чрез HTTPS, но други части са оставени некриптирани. Той демонстрира възможностите за атака в няколко видеоклипа на YouTube, където например нападател може да подмами потребителите с подправена страница в App Store да инсталират фалшиви актуализации или да въведат парола чрез измамен прозорец с подкана. За нападателя е достатъчно да сподели Wi-Fi връзка в незащитена мрежа с целта си в даден момент.
С включването на HTTPS Apple разреши много дупки в сигурността, но тази стъпка отне много време. И дори тогава той е далеч от победата. Според сигурността на компанията Qualy's тя все още има пукнатини в сигурността на Apple през HTTPS и го нарече неадекватно. Въпреки това, уязвимостите не са лесно откриваеми за потенциални нападатели, така че потребителите не трябва да се тревожат твърде много.
Колко мило. Сега те най-накрая можеха да ударят скоростта. От няколко месеца е невероятно бавно.