Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 49 reacties, 28.896 views •

Apple lijkt besloten te hebben om het dataverkeer tussen iOS-apparaten en de App Store met behulp van https te versleutelen. Dit zou gebruikers minder kwetsbaar moeten maken op bijvoorbeeld open wifi-netwerken.

Elie Bursztein, beveiligingsonderzoeker bij Google, schrijft dat hij in juli 2012 een aantal kwetsbaarheden in de App Store aan Apple kenbaar heeft gemaakt. Inmiddels zou Apple hebben besloten om https, waarbij verbindingen worden versleuteld en met certificaten de 'echtheid' van een website moet worden gegarandeerd, te implementeren voor zijn softwarewinkel. Apple zelf heeft niets openbaar gemaakt over het al dan niet activeren van https; het bedrijf geeft zelden tot nooit commentaar op beveiligingsproblemen.

Bursztein zet op zijn weblog diverse scenario's uiteen hoe iOS-gebruikers risico's lopen als de communicatie met de App Store niet via versleutelde verbindingen verloopt. Met name op openbare en onversleutelde wifi-netwerken zouden bezitters van een iPhone of iPad door hackers aangevallen kunnen worden. Zo kan een wachtwoord worden gestolen door een dialoogscherm te tonen en er kunnen ongemerkt andere apps geïnstalleerd worden dan de keuze van de gebruiker, evenals ongewenste upgrades. Ook de privacy kan in gevaar komen als een aanvaller de lijst met geïnstalleerde apps weet op te vragen.

Apple is betrekkelijk laat met het activeren van https als de beweringen van Bursztein kloppen. Veel drukbezochte websites als Facebook, Google en Twitter bieden al langere tijd versleutelde verbindingen aan en https wordt door beveiligingsonderzoekers steeds vaker als een must omschreven voor sites.

Gerelateerde content

Alle gerelateerde content (22)

Reacties (49)

Reactiefilter:-149048+131+23+30
Moderatie-faq Wijzig weergave
Een paar dagen nadat het malware gestuntel van Google kenbaar wordt gemaakt komt dit bericht over Apple, door een Google medewerker. Hij noemt een aantal mogelijke scenario's waarvan nog maar de vraag is of ze praktisch uitvoerbaar zijn. Met name het ongemerkt andere apps dan bedoelt downloaden lijkt me sterk.
Het is praktisch niet mogelijk omdat om als root in te loggen een hele andere inlog gegevens heeft dan een Apple ID. Ze kunnen niet zomaar een dialog tonen, dat zit namelijk in de code van Apps zelf en er is niet een trigger van buitenaf waarmee je dat zomaar kan aanroepen.

Ongeacht de hoop praat in het artikel vermeld is, neem wel altijd in acht je op een openbaar netwerk nooit goed veilig bent. Verder is het zo dat de iPhone standaard geen vrije poorten open heeft staan (onlangs nog een portcheck uitgevoerd) en valt er vrij weinig info te plukken (hooguit ip,mac adres en welke service aan staan).
Hij noemt een aantal mogelijke scenario's waarvan nog maar de vraag is of ze praktisch uitvoerbaar zijn. Met name het ongemerkt andere apps dan bedoelt downloaden lijkt me sterk

Well, don't underestimate the power of the Dark Side. :) Seiously, dat is nou precies waar het altijd mis gaat; en hackers zijn vaak behoorlijk inventief.

Apple had dit gewoon al moeten doen van meet af aan. Laat het dan een heel klein beetje meer CPU kracht kosten (SSL = relatief cpu-intensive), maar daar kan een groot bedrijf als Apple zich toch niet echt op beroepen.
Maar als we eens goed kijken naar de instellingen kan je al heel lang instellen dat je data encrypted wordt, dit staat ook als optie in iTunes.

Ten eerste is het aannemelijk data al encrypted voordat het uberhaud verstuurd wordt over welk protocol dan ook. https is dan hooguit ene extra laag van beveiliging. De kans dat een wachtwoord onencrypted verstuurd werd over http lijkt me zo nihiel en niet aannemelijk.
Dus, ze gebruikten een onversleutelde verbinding voor de app store? Zo kun je gebruikersgegevens met een goeie sniffer gewoon meepikken. Nou Apple, fijn dat jullie alsnog het licht hebben gezien.
Nee, het gaat alleen om de web content van de iOS App (de catalogus informatie over een app zeg maar). Die werd met onversleuteld http vanaf apple servers aangeboden. Deze zou je dus met een man in the middle attack (wifi) kunnen manipuleren.

Het feitelijke password verkeer werd altijd al versleuteld (https) met de App store uitgewisseld.
In principe kan je dmv arp poisoning nog steeds een mitm attack doen toch? alleen wordt het wel een stuk lastiger
Maar als je het bron artikel goed leest, dan blijkt het dus vrij eenvoudig te wezen dus ook fake prompts voor passwords te injecteren! (code daarvoor staat er zelfs bij!). Dat maakt dat de kwetsbaarheid van de App Store dan toch aanzienlijk groter was dan iemand die wellicht wat catalog informatie zou willen wijzigen.
Inderdaad vrij schokkend dat dit niet allang heb geval was.

Als ze toch bezig zijn: Laten ze eens iets doen aan de vreselijk trage App Store op iOS apparaten van versie 5 en hoger!

[Reactie gewijzigd door einstein op 10 maart 2013 10:44]

Inderdaad, mijn iPhone 5 komt niet eens voorbij het update scherm in de AppStore sinds de upgrade naar iOS 6, aangezien mijn vorige, oudere devices er ook last van hadden...

Erg slordig van Apple dat ze deze beveiliging niet hadden geplanteerd, vooral omdat het bedrijf om zijn 'virus-vrije' omgeving bekend staat.
"mijn iPhone 5 komt niet eens voorbij het update scherm in de AppStore sinds de upgrade naar iOS 6"

iPhone 5 komt met iOS 6.
Daarom zei ik ook: ''sinds de upgrade naar iOS 6, aangezien mijn vorige, oudere devices er ook last van hadden...''. Ik vermoed dat de iPhone 5 op iOS 5 hier geen last van zou hebben. ;)
De iPad3 had er op iOS5 ook last van. Dus ik denk dat dat ook geldt voor de iPhone 5.
Nergens last van....

Zowel op 3G als Wifi is de appStore op mijn 4S snel genoeg.

[Reactie gewijzigd door oldsmelly op 10 maart 2013 14:44]

Ik schrik hier best wel van dat dit nog niet het geval was...
ach, je ziet zoiets wel vaker spijtig genoeg. Hoeveel commerciŽle softwarepartijen ondertekenen bijvoorbeeld hun installers nog altijd niet waardoor je in Vista/7/8 altijd een waarschuwing krijgt van onbekende bron ... . En dat terwijl wij zelf als klein hobby project wel de moeite nemen om alles netjes te tekenen.
Klein kun je het project niet meer noemen denk ik :P
Ik schrik ervan dat hun concurrent ze moet uitleggen dat HTTPS onveilig is en dat het vervolgens zolang duurt voor ze het oplossen. Als klant kun je (volgens mij) niet zien hoe je iDevice met de AppStore verbindt :o

[Reactie gewijzigd door Grrrrrene op 10 maart 2013 10:56]

Je bedoelt veilig(er), zonder de s is het onveilig ;)
Wireshark en een wifi access point ;)

Zul je nu zien dat ze HTTPS implementeren die niet bestand is tegen BEAST... Zucht.
Waar ik me eigenlijk over verbaas, is dat er voor de iOs store apps Łberhaupt gebruik gemaakt wordt van http, met een s erachter of niet. Waarom zou je zo'n inefficiŽnt protocol gebruiken voor zoiets als een store, als je toch een complete applicatie hebt?

Blijft het feit dat zo'n verbinding versleutelen altijd een goed idee is natuurlijk.
Een SSL certificaat kost oom best wat geld, iOS Apps maken kost ook 80 a 90§ p/j dus ja voor hobbyisten met gratis Apps is dit niet rendabel, en om na elk request de ssl natrekken zit niet in de standaard functies van NSData, NSDictonary etcetera, dus een hoop extra werk ook nog eens, ik snap de overweging van developers
Eh...? Het gaat hier toch om de communicatie tussen de App Store app op de iDevices met de App Store op de servers van Apple? Ik zie even niet wat dat te maken heeft met individuele developers... En dan nog: of je nu https of foobarS gebruikt, dat maakt qua certificaten toch niets uit?
Toch bizar dat een bedrijf als Apple, met miljarden aan cash op voorraad, blijkbaar zo weinig prioriteit geeft aan een betrekkelijk eenvoudige aanpassing om een dermate veelgebruikte dataverbinding te beveiligen.
Gaat overigens alleen over de iOS App, andere verkeer met de App Store was al wel versleuteld.
Het lijkt erop dat Apple de prioriteiten vooral legt bij het introduceren van nieuwe dingen, om vooral de inhalige aandeelhouders en investeerders maar tevreden te houden. Gelanceerde producten lijken niet echt doorontwikkeld te worden. Kijk maar naar bijvoorbeeld iCloud. Dat begint me steeds meer tegen te staan en het is bijvoorbeeld reden om een overstap naar Outlook.com te overwegen voor wat betreft mail.

Zoals hierboven ook al genoemd, is de App store enorm traag op mijn Apple spul. Het update scherm laadt 9 van de 10 keer niet.
Apple is betrekkelijk laat met het activeren van https als de beweringen van Bursztein kloppen. Veel drukbezochte websites als Facebook, Google en Twitter bieden al langere tijd versleutelde verbindingen aan en https wordt door beveiligingsonderzoekers steeds vaker als een must omschreven voor sites.
Precies. Toen ik de kop las dacht ik aan een soort 1 april grap. Ik kan me niet voorstellen dat een groot bedrijf als Apple niet eerder op HTTPS is overgegaan. Maar, ook al zijn ze laat: Beter laat dan nooit!
Hun concurrent serveert 15% malware in hun eigen store, dus wat is er nog veiliger? Pot notificeert de ketel in dit geval.
Ik zie het meer als: Pot verwijt ketel, zodat de wereld afgeleid is door problemen bij pot.

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True