Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 49 reacties, 28.870 views •

Apple lijkt besloten te hebben om het dataverkeer tussen iOS-apparaten en de App Store met behulp van https te versleutelen. Dit zou gebruikers minder kwetsbaar moeten maken op bijvoorbeeld open wifi-netwerken.

Elie Bursztein, beveiligingsonderzoeker bij Google, schrijft dat hij in juli 2012 een aantal kwetsbaarheden in de App Store aan Apple kenbaar heeft gemaakt. Inmiddels zou Apple hebben besloten om https, waarbij verbindingen worden versleuteld en met certificaten de 'echtheid' van een website moet worden gegarandeerd, te implementeren voor zijn softwarewinkel. Apple zelf heeft niets openbaar gemaakt over het al dan niet activeren van https; het bedrijf geeft zelden tot nooit commentaar op beveiligingsproblemen.

Bursztein zet op zijn weblog diverse scenario's uiteen hoe iOS-gebruikers risico's lopen als de communicatie met de App Store niet via versleutelde verbindingen verloopt. Met name op openbare en onversleutelde wifi-netwerken zouden bezitters van een iPhone of iPad door hackers aangevallen kunnen worden. Zo kan een wachtwoord worden gestolen door een dialoogscherm te tonen en er kunnen ongemerkt andere apps geïnstalleerd worden dan de keuze van de gebruiker, evenals ongewenste upgrades. Ook de privacy kan in gevaar komen als een aanvaller de lijst met geïnstalleerde apps weet op te vragen.

Apple is betrekkelijk laat met het activeren van https als de beweringen van Bursztein kloppen. Veel drukbezochte websites als Facebook, Google en Twitter bieden al langere tijd versleutelde verbindingen aan en https wordt door beveiligingsonderzoekers steeds vaker als een must omschreven voor sites.

Gerelateerde content

Alle gerelateerde content (22)

Reacties (49)

Ik schrik hier best wel van dat dit nog niet het geval was...
ach, je ziet zoiets wel vaker spijtig genoeg. Hoeveel commerciŽle softwarepartijen ondertekenen bijvoorbeeld hun installers nog altijd niet waardoor je in Vista/7/8 altijd een waarschuwing krijgt van onbekende bron ... . En dat terwijl wij zelf als klein hobby project wel de moeite nemen om alles netjes te tekenen.
Klein kun je het project niet meer noemen denk ik :P
Ik schrik ervan dat hun concurrent ze moet uitleggen dat HTTPS onveilig is en dat het vervolgens zolang duurt voor ze het oplossen. Als klant kun je (volgens mij) niet zien hoe je iDevice met de AppStore verbindt :o

[Reactie gewijzigd door Grrrrrene op 10 maart 2013 10:56]

Je bedoelt veilig(er), zonder de s is het onveilig ;)
Wireshark en een wifi access point ;)

Zul je nu zien dat ze HTTPS implementeren die niet bestand is tegen BEAST... Zucht.
Inderdaad vrij schokkend dat dit niet allang heb geval was.

Als ze toch bezig zijn: Laten ze eens iets doen aan de vreselijk trage App Store op iOS apparaten van versie 5 en hoger!

[Reactie gewijzigd door einstein op 10 maart 2013 10:44]

Inderdaad, mijn iPhone 5 komt niet eens voorbij het update scherm in de AppStore sinds de upgrade naar iOS 6, aangezien mijn vorige, oudere devices er ook last van hadden...

Erg slordig van Apple dat ze deze beveiliging niet hadden geplanteerd, vooral omdat het bedrijf om zijn 'virus-vrije' omgeving bekend staat.
"mijn iPhone 5 komt niet eens voorbij het update scherm in de AppStore sinds de upgrade naar iOS 6"

iPhone 5 komt met iOS 6.
Daarom zei ik ook: ''sinds de upgrade naar iOS 6, aangezien mijn vorige, oudere devices er ook last van hadden...''. Ik vermoed dat de iPhone 5 op iOS 5 hier geen last van zou hebben. ;)
De iPad3 had er op iOS5 ook last van. Dus ik denk dat dat ook geldt voor de iPhone 5.
Nergens last van....

Zowel op 3G als Wifi is de appStore op mijn 4S snel genoeg.

[Reactie gewijzigd door oldsmelly op 10 maart 2013 14:44]

Dus, ze gebruikten een onversleutelde verbinding voor de app store? Zo kun je gebruikersgegevens met een goeie sniffer gewoon meepikken. Nou Apple, fijn dat jullie alsnog het licht hebben gezien.
Nee, het gaat alleen om de web content van de iOS App (de catalogus informatie over een app zeg maar). Die werd met onversleuteld http vanaf apple servers aangeboden. Deze zou je dus met een man in the middle attack (wifi) kunnen manipuleren.

Het feitelijke password verkeer werd altijd al versleuteld (https) met de App store uitgewisseld.
In principe kan je dmv arp poisoning nog steeds een mitm attack doen toch? alleen wordt het wel een stuk lastiger
Maar als je het bron artikel goed leest, dan blijkt het dus vrij eenvoudig te wezen dus ook fake prompts voor passwords te injecteren! (code daarvoor staat er zelfs bij!). Dat maakt dat de kwetsbaarheid van de App Store dan toch aanzienlijk groter was dan iemand die wellicht wat catalog informatie zou willen wijzigen.
Toch bizar dat een bedrijf als Apple, met miljarden aan cash op voorraad, blijkbaar zo weinig prioriteit geeft aan een betrekkelijk eenvoudige aanpassing om een dermate veelgebruikte dataverbinding te beveiligen.
Gaat overigens alleen over de iOS App, andere verkeer met de App Store was al wel versleuteld.
Volgens mij gaat het om openbare netwerken wat overigens al nooit veilig is om op aan te melden. En dan maakt het niet zoveel uit welk os je gebruikt. Als een app niet over https communiceert dan is die app gewoon al onveilig. Veiligheid probleem ligt dan ook aan de tcp/ip protocol. Er waren destijds betere en veiligere protocollen, maar de windows wereld koos helaas voor de verkeerde als standaard.
Omdat je ingaat op een wat kort door de bocht gestelde fanboyopmerking is elk stukje betere informatie al mooi meegenomen, maar wat je schrijft is ook maar net een heel klein beetje zinniger.

Ten eerste gaat het niet om apps maar om een onlosmakelijk onderdeel van het OS, namelijk de Appstore. Apple heeft er wel degelijk voor gekozen om die zo op te zetten als ze hebben gedaan.

Ten tweede TCP/IP. Het is onzinnig om dat als een door Windows gekozen protocol neer te zetten. MS was een erg late instapper bij wat toen al de standaard was.

Verder is er niks mis met TCP/IP, in die zin dat het gebruik ervan intensiever en belastender is dan ooit voorzien en dat het nog steeds prima standhoudt.

Tenslotte heb je het opeens over TCP/IP, maar eigenlijk ging het nog gewoon over secure-versies van de daarbovenop geÔmplementeerde standaardprotocollen die zonder encryptie voor hun eigen doeleinden ook nog steeds prima voldoen.

P.S. Je kan openbare netwerken de schuld geven, maar gegeven een waterdichte versleuteling zijn die niet onveiliger dan een privaat netwerk. Dat is nou net het hele idee achter het gebruiken van versleutelde protocollen!

@hieronder: natuurlijk kan je versleutelen zonder de S-versie van een protocol te gebruiken, maar over het algemeen geldt dat je van een koude kermis thuiskomt als je een dergelijk wiel zelf opnieuw probeert uit te vinden. Overigens beschuldig ik jou niet van fanboyachtig gedrag, maar degene op wie jij weerwoord gaf en die zich vanuit dat gezichtspunt in de discussie begaf. Verder heb je het over een optie om gegevens te versleutelen in iTunes, maar het is niet zo duidelijk om welke gegevens dat gaat. En dan tenslotte nog je opmerking over een root-account. Ik zie niet in wat dat er nou weer mee te maken zou hebben. Iemand kan bij jouw (inlog)gegevens of kan jou mogelijk een valse app in de maag splitsen. Dat kan zonder root al precies genoeg kwaad om knap vervelend te zijn (en mogelijk een opstapje om makkelijker rootrechten te krijgen).

[Reactie gewijzigd door mae-t.net op 12 maart 2013 18:32]

- Encrypted kan ook zonder https, denk je nu echt dat nog niet gebeurde?

Als ik een applicatie maak die gegevens moet verzenden kan ik dat de applicatie zelf laten coderen en aan de server kant weer decoderen.

Heeft niks met fanboy te maken en als je iets had verdiept dan wist je dan in iTunes al heel lang een optie staat om je gegevens te versleutelen. Plus dat een gebruikers account heel wat anders is dan een root account. Een vreemde kan echt niet zomaar binnendringen zoals in het artikel wordt gesuggereerd.

[Reactie gewijzigd door BoringDay op 11 maart 2013 06:43]

Het lijkt erop dat Apple de prioriteiten vooral legt bij het introduceren van nieuwe dingen, om vooral de inhalige aandeelhouders en investeerders maar tevreden te houden. Gelanceerde producten lijken niet echt doorontwikkeld te worden. Kijk maar naar bijvoorbeeld iCloud. Dat begint me steeds meer tegen te staan en het is bijvoorbeeld reden om een overstap naar Outlook.com te overwegen voor wat betreft mail.

Zoals hierboven ook al genoemd, is de App store enorm traag op mijn Apple spul. Het update scherm laadt 9 van de 10 keer niet.
Het is helaas niet het enige computer gerelateerde bedrijf dat prendeert haar zaakjes op orde te hebben, maar goed dat dit bedrijf alsnog wakker aan het worden is, al stelt zoiets een goede naam nu niet bepaald in en goed daglicht.
Agreed, op zich een goede ontwikkeling maar bij de volgende passage zet ik toch erg mijn vraagtekens:
Apple zelf heeft niets openbaar gemaakt over het al dan niet activeren van https; het bedrijf geeft zelden tot nooit commentaar op beveiligingsproblemen.
Wat is dat voor tactiek dan? Zelfbescherming door struisvogeltactiek?
Wellicht speelt mee dat ze kwaadwillenden niet wijzer willen maken dan ze zijn, maar blijkbaar komen dit soort zaken toch wel aan het licht. Ik zou me dan (als dit bij herhaling voorkomt) aardig op het verkeerde been gezet voelen als Apple gebruiker.
Het is er in ieder geval weer eentje in het rijtje dat aantoont dat er op security-gebied (ook) genoeg op Apple aan te merken is.
Apple is betrekkelijk laat met het activeren van https als de beweringen van Bursztein kloppen. Veel drukbezochte websites als Facebook, Google en Twitter bieden al langere tijd versleutelde verbindingen aan en https wordt door beveiligingsonderzoekers steeds vaker als een must omschreven voor sites.
Precies. Toen ik de kop las dacht ik aan een soort 1 april grap. Ik kan me niet voorstellen dat een groot bedrijf als Apple niet eerder op HTTPS is overgegaan. Maar, ook al zijn ze laat: Beter laat dan nooit!
Hun concurrent serveert 15% malware in hun eigen store, dus wat is er nog veiliger? Pot notificeert de ketel in dit geval.
Ik zie het meer als: Pot verwijt ketel, zodat de wereld afgeleid is door problemen bij pot.

Op dit item kan niet meer gereageerd worden.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBSamsung

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True