Michal Ždanský Det är nästan oroväckande hur länge Apple har lämnat sina användare, närmare bestämt alla som använder App Store, utsatta för den potentiella faran med okrypterad kommunikation mellan App Store och företagets servrar. Först nu har Apple börjat använda HTTPS, en teknik som krypterar dataflödet mellan enheten och App Store.
Google-forskaren Elie Bursztein rapporterade om problemet på fredagen blogu. Redan i juli förra året upptäckte han flera sårbarheter i Apples säkerhet på fritiden och rapporterade dem till företaget. HTTPS är en säkerhetsstandard som har använts i flera år och ger krypterad kommunikation mellan en slutanvändare och en webbserver. Det förhindrar i allmänhet en hackare från att avlyssna kommunikation mellan två slutpunkter och extrahera känslig data, såsom lösenord eller kreditkortsnummer. Samtidigt kontrollerar den om slutanvändaren inte kommunicerar med den falska servern. Säkerhetswebbstandarden tillämpas sedan en tid tillbaka av till exempel Google, Facebook eller Twitter.
Enligt Burszteins blogginlägg var en del av App Store redan säkrad via HTTPS, men andra delar lämnades okrypterade. Han demonstrerade attackmöjligheterna i flera videor på Youtube, där till exempel en angripare kan lura användare med en falsk sida i App Store att installera falska uppdateringar eller ange ett lösenord genom ett bedrägligt meddelandefönster. För en angripare räcker det att dela en Wi-Fi-anslutning på ett oskyddat nätverk med sitt mål vid ett givet ögonblick.
Genom att slå på HTTPS löste Apple många säkerhetshål, men det tog mycket tid med detta steg. Och även då är han långt ifrån att vinna. Enligt företagets säkerhet Qualy's hon har fortfarande sprickor i Apples säkerhet över HTTPS och kallade det otillräckligt. Men sårbarheter är inte lätta att upptäcka för potentiella angripare, så användarna behöver inte oroa sig för mycket.
Vad snällt. Nu kunde de äntligen träffa fartguppet. Det har gått otroligt långsamt i flera månader nu.