'Apple schakelt https in voor dataverkeer met de App Store'
Apple lijkt besloten te hebben om het dataverkeer tussen iOS-apparaten en de App Store met behulp van https te versleutelen. Dit zou gebruikers minder kwetsbaar moeten maken op bijvoorbeeld open wifi-netwerken.
Elie Bursztein, beveiligingsonderzoeker bij Google, schrijft dat hij in juli 2012 een aantal kwetsbaarheden in de App Store aan Apple kenbaar heeft gemaakt. Inmiddels zou Apple hebben besloten om https, waarbij verbindingen worden versleuteld en met certificaten de 'echtheid' van een website moet worden gegarandeerd, te implementeren voor zijn softwarewinkel. Apple zelf heeft niets openbaar gemaakt over het al dan niet activeren van https; het bedrijf geeft zelden tot nooit commentaar op beveiligingsproblemen.
Bursztein zet op zijn weblog diverse scenario's uiteen hoe iOS-gebruikers risico's lopen als de communicatie met de App Store niet via versleutelde verbindingen verloopt. Met name op openbare en onversleutelde wifi-netwerken zouden bezitters van een iPhone of iPad door hackers aangevallen kunnen worden. Zo kan een wachtwoord worden gestolen door een dialoogscherm te tonen en er kunnen ongemerkt andere apps geïnstalleerd worden dan de keuze van de gebruiker, evenals ongewenste upgrades. Ook de privacy kan in gevaar komen als een aanvaller de lijst met geïnstalleerde apps weet op te vragen.
Apple is betrekkelijk laat met het activeren van https als de beweringen van Bursztein kloppen. Veel drukbezochte websites als Facebook, Google en Twitter bieden al langere tijd versleutelde verbindingen aan en https wordt door beveiligingsonderzoekers steeds vaker als een must omschreven voor sites.
Reacties (49)
[Reactie gewijzigd door Grrrrrene op zondag 10 maart 2013 10:56]
Zul je nu zien dat ze HTTPS implementeren die niet bestand is tegen BEAST... Zucht.
Als ze toch bezig zijn: Laten ze eens iets doen aan de vreselijk trage App Store op iOS apparaten van versie 5 en hoger!
[Reactie gewijzigd door einstein op zondag 10 maart 2013 10:44]
Erg slordig van Apple dat ze deze beveiliging niet hadden geplanteerd, vooral omdat het bedrijf om zijn 'virus-vrije' omgeving bekend staat.
iPhone 5 komt met iOS 6.
Zowel op 3G als Wifi is de appStore op mijn 4S snel genoeg.
[Reactie gewijzigd door oldsmelly op zondag 10 maart 2013 14:44]
Het feitelijke password verkeer werd altijd al versleuteld (https) met de App store uitgewisseld.
Ten eerste gaat het niet om apps maar om een onlosmakelijk onderdeel van het OS, namelijk de Appstore. Apple heeft er wel degelijk voor gekozen om die zo op te zetten als ze hebben gedaan.
Ten tweede TCP/IP. Het is onzinnig om dat als een door Windows gekozen protocol neer te zetten. MS was een erg late instapper bij wat toen al de standaard was.
Verder is er niks mis met TCP/IP, in die zin dat het gebruik ervan intensiever en belastender is dan ooit voorzien en dat het nog steeds prima standhoudt.
Tenslotte heb je het opeens over TCP/IP, maar eigenlijk ging het nog gewoon over secure-versies van de daarbovenop geïmplementeerde standaardprotocollen die zonder encryptie voor hun eigen doeleinden ook nog steeds prima voldoen.
P.S. Je kan openbare netwerken de schuld geven, maar gegeven een waterdichte versleuteling zijn die niet onveiliger dan een privaat netwerk. Dat is nou net het hele idee achter het gebruiken van versleutelde protocollen!
@hieronder: natuurlijk kan je versleutelen zonder de S-versie van een protocol te gebruiken, maar over het algemeen geldt dat je van een koude kermis thuiskomt als je een dergelijk wiel zelf opnieuw probeert uit te vinden. Overigens beschuldig ik jou niet van fanboyachtig gedrag, maar degene op wie jij weerwoord gaf en die zich vanuit dat gezichtspunt in de discussie begaf. Verder heb je het over een optie om gegevens te versleutelen in iTunes, maar het is niet zo duidelijk om welke gegevens dat gaat. En dan tenslotte nog je opmerking over een root-account. Ik zie niet in wat dat er nou weer mee te maken zou hebben. Iemand kan bij jouw (inlog)gegevens of kan jou mogelijk een valse app in de maag splitsen. Dat kan zonder root al precies genoeg kwaad om knap vervelend te zijn (en mogelijk een opstapje om makkelijker rootrechten te krijgen).
[Reactie gewijzigd door mae-t.net op dinsdag 12 maart 2013 18:32]
Als ik een applicatie maak die gegevens moet verzenden kan ik dat de applicatie zelf laten coderen en aan de server kant weer decoderen.
Heeft niks met fanboy te maken en als je iets had verdiept dan wist je dan in iTunes al heel lang een optie staat om je gegevens te versleutelen. Plus dat een gebruikers account heel wat anders is dan een root account. Een vreemde kan echt niet zomaar binnendringen zoals in het artikel wordt gesuggereerd.
[Reactie gewijzigd door BoringDay op maandag 11 maart 2013 06:43]
Zoals hierboven ook al genoemd, is de App store enorm traag op mijn Apple spul. Het update scherm laadt 9 van de 10 keer niet.
Wat is dat voor tactiek dan? Zelfbescherming door struisvogeltactiek?Apple zelf heeft niets openbaar gemaakt over het al dan niet activeren van https; het bedrijf geeft zelden tot nooit commentaar op beveiligingsproblemen.
Wellicht speelt mee dat ze kwaadwillenden niet wijzer willen maken dan ze zijn, maar blijkbaar komen dit soort zaken toch wel aan het licht. Ik zou me dan (als dit bij herhaling voorkomt) aardig op het verkeerde been gezet voelen als Apple gebruiker.
Het is er in ieder geval weer eentje in het rijtje dat aantoont dat er op security-gebied (ook) genoeg op Apple aan te merken is.
Precies. Toen ik de kop las dacht ik aan een soort 1 april grap. Ik kan me niet voorstellen dat een groot bedrijf als Apple niet eerder op HTTPS is overgegaan. Maar, ook al zijn ze laat: Beter laat dan nooit!Apple is betrekkelijk laat met het activeren van https als de beweringen van Bursztein kloppen. Veel drukbezochte websites als Facebook, Google en Twitter bieden al langere tijd versleutelde verbindingen aan en https wordt door beveiligingsonderzoekers steeds vaker als een must omschreven voor sites.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
