Michal Ždanský Det er næsten alarmerende, hvor længe Apple har efterladt sine brugere, specifikt alle dem, der bruger App Store, udsat for den potentielle fare for ukrypteret kommunikation mellem App Store og virksomhedens servere. Først nu er Apple begyndt at bruge HTTPS, en teknologi, der krypterer datastrømmen mellem enheden og App Store.
Google-forsker Elie Bursztein rapporterede om problemet fredag blogu. Allerede i juli sidste år opdagede han flere sårbarheder i Apples sikkerhed i sin fritid og rapporterede dem til virksomheden. HTTPS er en sikkerhedsstandard, der har været i brug i årevis og giver krypteret kommunikation mellem en slutbruger og en webserver. Det forhindrer generelt en hacker i at opsnappe kommunikation mellem to endepunkter og udtrække følsomme data, såsom adgangskoder eller kreditkortnumre. Samtidig tjekker den, om slutbrugeren ikke kommunikerer med den falske server. Sikkerhedswebstandarden har været anvendt i nogen tid af for eksempel Google, Facebook eller Twitter.
Ifølge Burszteins blogindlæg var en del af App Store allerede sikret via HTTPS, men andre dele blev efterladt ukrypteret. Han demonstrerede angrebsmulighederne i flere videoer på YouTube, hvor for eksempel en angriber kan narre brugere med en forfalsket side i App Store til at installere falske opdateringer eller indtaste en adgangskode gennem et svigagtigt promptvindue. For en angriber er det nok at dele en Wi-Fi-forbindelse på et ubeskyttet netværk med sit mål på et givet tidspunkt.
Ved at slå HTTPS til løste Apple mange sikkerhedshuller, men det tog meget tid med dette trin. Og selv da er han langt fra at vinde. Ifølge virksomhedens sikkerhed Qualy's hun har stadig revner i Apples sikkerhed over HTTPS og kaldte det utilstrækkeligt. Men sårbarheder er ikke let at finde for potentielle angribere, så brugerne behøver ikke at bekymre sig for meget.
Hvor venligt. Nu kunne de endelig ramme fartbumpen. Det har været utroligt langsomt i flere måneder nu.