'Apple schakelt https in voor dataverkeer met de App Store'

Apple lijkt besloten te hebben om het dataverkeer tussen iOS-apparaten en de App Store met behulp van https te versleutelen. Dit zou gebruikers minder kwetsbaar moeten maken op bijvoorbeeld open wifi-netwerken.

Elie Bursztein, beveiligingsonderzoeker bij Google, schrijft dat hij in juli 2012 een aantal kwetsbaarheden in de App Store aan Apple kenbaar heeft gemaakt. Inmiddels zou Apple hebben besloten om https, waarbij verbindingen worden versleuteld en met certificaten de 'echtheid' van een website moet worden gegarandeerd, te implementeren voor zijn softwarewinkel. Apple zelf heeft niets openbaar gemaakt over het al dan niet activeren van https; het bedrijf geeft zelden tot nooit commentaar op beveiligingsproblemen.

Bursztein zet op zijn weblog diverse scenario's uiteen hoe iOS-gebruikers risico's lopen als de communicatie met de App Store niet via versleutelde verbindingen verloopt. Met name op openbare en onversleutelde wifi-netwerken zouden bezitters van een iPhone of iPad door hackers aangevallen kunnen worden. Zo kan een wachtwoord worden gestolen door een dialoogscherm te tonen en er kunnen ongemerkt andere apps geïnstalleerd worden dan de keuze van de gebruiker, evenals ongewenste upgrades. Ook de privacy kan in gevaar komen als een aanvaller de lijst met geïnstalleerde apps weet op te vragen.

Apple is betrekkelijk laat met het activeren van https als de beweringen van Bursztein kloppen. Veel drukbezochte websites als Facebook, Google en Twitter bieden al langere tijd versleutelde verbindingen aan en https wordt door beveiligingsonderzoekers steeds vaker als een must omschreven voor sites.

Door Dimitri Reijerman

Redacteur

Feedback • 10-03-2013 10:3849

10-03-2013 • 10:38

49 Linkedin

Lees meer

Gerucht: iPhone 6s en SE krijgen geen iOS 15 Nieuws van 23 november 2020
Google gaat https-sites hoger zetten in zoekresultaten Nieuws van 7 augustus 2014
Kans op misbruik 'oplader-hack' iOS lijkt beperkt Nieuws van 1 augustus 2013
Verenigde Staten willen betere privacyvoorlichting mobiele apps Nieuws van 27 juli 2013
Microsoft: ontwikkelaars moeten lekke apps binnen uiterlijk 180 dagen patchen Nieuws van 10 juli 2013
Facebook test andere lay-out voor iPhone-app Nieuws van 24 juni 2013
'Wachtwoord mobiele hotspot-functionaliteit iOS eenvoudig te achterhalen' Nieuws van 17 juni 2013
'Apple gaat apps die andere apps promoten verbannen' Nieuws van 10 april 2013
Wachtwoord Apple ID te wijzigen met e-mailadres en geboortedatum Nieuws van 22 maart 2013
Google breidt Webmaster-tools uit met 'eerste hulp na hacken' Nieuws van 13 maart 2013
Bug in iOS maakt omzeilen lockscreen mogelijk Nieuws van 14 februari 2013
Officiële OpenVPN-app verschijnt voor iOS Nieuws van 18 januari 2013
Deel iPhone 5-gebruikers klaagt over wifi-problemen Nieuws van 25 september 2012
Ontwikkelaar maakt onofficiële webapplicatie voor WhatsApp Nieuws van 24 september 2012
'Dit jaar minder kwetsbaarheden mobiele besturingssystemen' Nieuws van 20 september 2012
Nederlanders vinden beveiligingsprobleem in browser iOS 6 Nieuws van 19 september 2012
Gestolen Apple-udid's kwamen uit database van firma BlueToad Nieuws van 10 september 2012
FBI: uitgelekte gegevens van iOS-gebruikers kwamen niet van ons Nieuws van 5 september 2012
Truc maakt alle software gratis in applicatiewinkels Apple Nieuws van 11 augustus 2012
'Kwart West-Europeanen heeft onveilig wachtwoord' Nieuws van 9 augustus 2012
Wipe-functionaliteit Exchange kan worden misbruikt Nieuws van 27 juli 2012
Apple: beveiliging moet onderdeel van architectuur zijn Nieuws van 26 juli 2012
Beveiligingsonderzoeker waarschuwt voor misbruik nfc Nieuws van 26 juli 2012
Meer producten en artikelen
Netwerk en systeembeheer Apple iOS

Reacties (49)

-Moderatie-faq
49
48
31
3
0
1
Wijzig sortering
HummerHealey
10 maart 2013 13:39
Een paar dagen nadat het malware gestuntel van Google kenbaar wordt gemaakt komt dit bericht over Apple, door een Google medewerker. Hij noemt een aantal mogelijke scenario's waarvan nog maar de vraag is of ze praktisch uitvoerbaar zijn. Met name het ongemerkt andere apps dan bedoelt downloaden lijkt me sterk.
BoringDay
@HummerHealey10 maart 2013 15:07
Het is praktisch niet mogelijk omdat om als root in te loggen een hele andere inlog gegevens heeft dan een Apple ID. Ze kunnen niet zomaar een dialog tonen, dat zit namelijk in de code van Apps zelf en er is niet een trigger van buitenaf waarmee je dat zomaar kan aanroepen.

Ongeacht de hoop praat in het artikel vermeld is, neem wel altijd in acht je op een openbaar netwerk nooit goed veilig bent. Verder is het zo dat de iPhone standaard geen vrije poorten open heeft staan (onlangs nog een portcheck uitgevoerd) en valt er vrij weinig info te plukken (hooguit ip,mac adres en welke service aan staan).
albatross
@HummerHealey10 maart 2013 15:08
Hij noemt een aantal mogelijke scenario's waarvan nog maar de vraag is of ze praktisch uitvoerbaar zijn. Met name het ongemerkt andere apps dan bedoelt downloaden lijkt me sterk

Well, don't underestimate the power of the Dark Side. :) Seiously, dat is nou precies waar het altijd mis gaat; en hackers zijn vaak behoorlijk inventief.

Apple had dit gewoon al moeten doen van meet af aan. Laat het dan een heel klein beetje meer CPU kracht kosten (SSL = relatief cpu-intensive), maar daar kan een groot bedrijf als Apple zich toch niet echt op beroepen.
BoringDay
@albatross10 maart 2013 17:04
Maar als we eens goed kijken naar de instellingen kan je al heel lang instellen dat je data encrypted wordt, dit staat ook als optie in iTunes.

Ten eerste is het aannemelijk data al encrypted voordat het uberhaud verstuurd wordt over welk protocol dan ook. https is dan hooguit ene extra laag van beveiliging. De kans dat een wachtwoord onencrypted verstuurd werd over http lijkt me zo nihiel en niet aannemelijk.
nelizmastr
10 maart 2013 10:54
Dus, ze gebruikten een onversleutelde verbinding voor de app store? Zo kun je gebruikersgegevens met een goeie sniffer gewoon meepikken. Nou Apple, fijn dat jullie alsnog het licht hebben gezien.
Anoniem: 474132
@nelizmastr10 maart 2013 11:04
Nee, het gaat alleen om de web content van de iOS App (de catalogus informatie over een app zeg maar). Die werd met onversleuteld http vanaf apple servers aangeboden. Deze zou je dus met een man in the middle attack (wifi) kunnen manipuleren.

Het feitelijke password verkeer werd altijd al versleuteld (https) met de App store uitgewisseld.
Tha_Butcha
@Anoniem: 47413210 maart 2013 11:29
In principe kan je dmv arp poisoning nog steeds een mitm attack doen toch? alleen wordt het wel een stuk lastiger
albatross
@Anoniem: 47413210 maart 2013 13:18
Maar als je het bron artikel goed leest, dan blijkt het dus vrij eenvoudig te wezen dus ook fake prompts voor passwords te injecteren! (code daarvoor staat er zelfs bij!). Dat maakt dat de kwetsbaarheid van de App Store dan toch aanzienlijk groter was dan iemand die wellicht wat catalog informatie zou willen wijzigen.
einstein
10 maart 2013 10:44
Inderdaad vrij schokkend dat dit niet allang heb geval was.

Als ze toch bezig zijn: Laten ze eens iets doen aan de vreselijk trage App Store op iOS apparaten van versie 5 en hoger!

[Reactie gewijzigd door einstein op 10 maart 2013 10:44]

iApp
@einstein10 maart 2013 10:56
Inderdaad, mijn iPhone 5 komt niet eens voorbij het update scherm in de AppStore sinds de upgrade naar iOS 6, aangezien mijn vorige, oudere devices er ook last van hadden...

Erg slordig van Apple dat ze deze beveiliging niet hadden geplanteerd, vooral omdat het bedrijf om zijn 'virus-vrije' omgeving bekend staat.
GeforceAA
@iApp10 maart 2013 11:16
"mijn iPhone 5 komt niet eens voorbij het update scherm in de AppStore sinds de upgrade naar iOS 6"

iPhone 5 komt met iOS 6.
iApp
@GeforceAA10 maart 2013 11:20
Daarom zei ik ook: ''sinds de upgrade naar iOS 6, aangezien mijn vorige, oudere devices er ook last van hadden...''. Ik vermoed dat de iPhone 5 op iOS 5 hier geen last van zou hebben. ;)
einstein
@iApp10 maart 2013 11:53
De iPad3 had er op iOS5 ook last van. Dus ik denk dat dat ook geldt voor de iPhone 5.
oldsmelly
@einstein10 maart 2013 14:44
Nergens last van....

Zowel op 3G als Wifi is de appStore op mijn 4S snel genoeg.

[Reactie gewijzigd door oldsmelly op 10 maart 2013 14:44]

rob6115
10 maart 2013 10:41
Ik schrik hier best wel van dat dit nog niet het geval was...
Blokker_1999
@rob611510 maart 2013 10:53
ach, je ziet zoiets wel vaker spijtig genoeg. Hoeveel commerciële softwarepartijen ondertekenen bijvoorbeeld hun installers nog altijd niet waardoor je in Vista/7/8 altijd een waarschuwing krijgt van onbekende bron ... . En dat terwijl wij zelf als klein hobby project wel de moeite nemen om alles netjes te tekenen.
Alexxxxxxxxxx
@Blokker_199910 maart 2013 23:03
Klein kun je het project niet meer noemen denk ik :P
Grrrrrene
@rob611510 maart 2013 10:55
Ik schrik ervan dat hun concurrent ze moet uitleggen dat HTTPS onveilig is en dat het vervolgens zolang duurt voor ze het oplossen. Als klant kun je (volgens mij) niet zien hoe je iDevice met de AppStore verbindt :o

[Reactie gewijzigd door Grrrrrene op 10 maart 2013 10:56]

Roeligan
@Grrrrrene10 maart 2013 10:57
Je bedoelt veilig(er), zonder de s is het onveilig ;)
Alex_dragon
@Grrrrrene11 maart 2013 21:55
Wireshark en een wifi access point ;)

Zul je nu zien dat ze HTTPS implementeren die niet bestand is tegen BEAST... Zucht.
ATS
10 maart 2013 21:10
Waar ik me eigenlijk over verbaas, is dat er voor de iOs store apps überhaupt gebruik gemaakt wordt van http, met een s erachter of niet. Waarom zou je zo'n inefficiënt protocol gebruiken voor zoiets als een store, als je toch een complete applicatie hebt?

Blijft het feit dat zo'n verbinding versleutelen altijd een goed idee is natuurlijk.
0xWDG
@ATS10 maart 2013 22:08
Een SSL certificaat kost oom best wat geld, iOS Apps maken kost ook 80 a 90€ p/j dus ja voor hobbyisten met gratis Apps is dit niet rendabel, en om na elk request de ssl natrekken zit niet in de standaard functies van NSData, NSDictonary etcetera, dus een hoop extra werk ook nog eens, ik snap de overweging van developers
ATS
@0xWDG11 maart 2013 07:41
Eh...? Het gaat hier toch om de communicatie tussen de App Store app op de iDevices met de App Store op de servers van Apple? Ik zie even niet wat dat te maken heeft met individuele developers... En dan nog: of je nu https of foobarS gebruikt, dat maakt qua certificaten toch niets uit?
RoccoS
10 maart 2013 10:56
Toch bizar dat een bedrijf als Apple, met miljarden aan cash op voorraad, blijkbaar zo weinig prioriteit geeft aan een betrekkelijk eenvoudige aanpassing om een dermate veelgebruikte dataverbinding te beveiligen.
Anoniem: 474132
10 maart 2013 11:00
Gaat overigens alleen over de iOS App, andere verkeer met de App Store was al wel versleuteld.
Anoniem: 86020
10 maart 2013 11:49
Het lijkt erop dat Apple de prioriteiten vooral legt bij het introduceren van nieuwe dingen, om vooral de inhalige aandeelhouders en investeerders maar tevreden te houden. Gelanceerde producten lijken niet echt doorontwikkeld te worden. Kijk maar naar bijvoorbeeld iCloud. Dat begint me steeds meer tegen te staan en het is bijvoorbeeld reden om een overstap naar Outlook.com te overwegen voor wat betreft mail.

Zoals hierboven ook al genoemd, is de App store enorm traag op mijn Apple spul. Het update scherm laadt 9 van de 10 keer niet.
MxD
10 maart 2013 12:17
Apple is betrekkelijk laat met het activeren van https als de beweringen van Bursztein kloppen. Veel drukbezochte websites als Facebook, Google en Twitter bieden al langere tijd versleutelde verbindingen aan en https wordt door beveiligingsonderzoekers steeds vaker als een must omschreven voor sites.
Precies. Toen ik de kop las dacht ik aan een soort 1 april grap. Ik kan me niet voorstellen dat een groot bedrijf als Apple niet eerder op HTTPS is overgegaan. Maar, ook al zijn ze laat: Beter laat dan nooit!
j0shua79
10 maart 2013 12:21
Hun concurrent serveert 15% malware in hun eigen store, dus wat is er nog veiliger? Pot notificeert de ketel in dit geval.
albatross
@j0shua7910 maart 2013 15:11
Ik zie het meer als: Pot verwijt ketel, zodat de wereld afgeleid is door problemen bij pot.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee