Zavřít reklamu

Je skoro až alarmující, jak dlouho nechal Apple své uživatele, konkrétně všechny ty, co používají App Store, vystavené potenciálnímu nebezpečí způsobenému nešifrovanou komunikací mezi App Store a servery společnosti. Teprve nyní začal Apple používat HTTPS, technologii, která šifruje tok dat mezi zařízením a App Store.

O problému v pátek informoval výzkumník Googlu Elie Bursztein na svém blogu. Už v červenci minulého roku objevil ve svém volném čase několik zranitelností v zabezpečení Applu a společnosti je nahlásil. HTTPS je standardní zabezpečení, které se používá již roky a poskytuje šifrovanou komunikaci mezi koncovým uživatelem a webovým serverem. Obecně zamezuje tomu, aby hacker mohl odchytávat komunikaci mezi dvěma koncovými body a získat z ní citlivé údaje, například hesla nebo čísla kreditních karet. Zároveň kontroluje, zda koncový uživatel nekomunikuje s podvrženým serverem. Bezpečnostní webový standard už nějakou dobu uplatňují například Google, Facebook nebo Twitter.

Z blogpostu Burszteina vyplývá, že část App Store již byla zabezpečená prostřednictvím HTTPS, jiné části však zůstaly bez šifrování. Možnosti napadení demonstroval na několika videích na YouTube, kde například útočník může uživatele napálit podstrčenou stránkou v App Store k instalaci falešných aktualizací nebo k zadání hesla prostřednictvím podvodného okna s výzvou. Pro útočníka tak stačí, aby se svým cílem sdílel v danou chvíli Wi-Fi připojení na nechráněné síti.

Zapnutím HTTPS vyřešil Apple mnoho bezpečnostních děr, nicméně si dal s tímto krokem dost na čas. A i tak nemá zdaleka vyhráno. Podle bezpečností firmy Qualys má zabezpečení Applu prostřednictvím HTTPS stále trhliny a označila jej za nedostatečné. Zranitelnosti však nejsou pro potencionální útočníky lehce objevitelné, uživatelé se tak nemusí příliš obávat.

Zdroj: ArsTechnica.com
.