Michal Ždanský Det er nesten alarmerende hvor lenge Apple har latt sine brukere, nærmere bestemt alle de som bruker App Store, eksponeres for den potensielle faren for ukryptert kommunikasjon mellom App Store og selskapets servere. Først nå har Apple tatt i bruk HTTPS, en teknologi som krypterer dataflyten mellom enheten og App Store.
Google-forsker Elie Bursztein rapporterte om problemet fredag blogg. Allerede i juli i fjor oppdaget han flere sårbarheter i Apples sikkerhet på fritiden og rapporterte dem til selskapet. HTTPS er en sikkerhetsstandard som har vært i bruk i årevis og gir kryptert kommunikasjon mellom en sluttbruker og en webserver. Det forhindrer generelt en hacker i å avskjære kommunikasjon mellom to endepunkter og trekke ut sensitive data, for eksempel passord eller kredittkortnumre. Samtidig sjekker den om sluttbrukeren ikke kommuniserer med den falske serveren. Sikkerhetswebstandarden har vært brukt en stund av for eksempel Google, Facebook eller Twitter.
Ifølge Burszteins blogginnlegg var deler av App Store allerede sikret via HTTPS, men andre deler ble stående ukryptert. Han demonstrerte angrepsmulighetene i flere videoer på YouTube, hvor for eksempel en angriper kan lure brukere med en forfalsket side i App Store til å installere falske oppdateringer eller skrive inn et passord gjennom et uredelig forespørselsvindu. For en angriper er det nok å dele en Wi-Fi-tilkobling på et ubeskyttet nettverk med målet hans i et gitt øyeblikk.
Ved å slå på HTTPS løste Apple mange sikkerhetshull, men det tok mye tid med dette trinnet. Og selv da er han langt fra å vinne. I følge selskapets sikkerhet Qualy sin hun har fortsatt sprekker i Apples sikkerhet over HTTPS og kalte det utilstrekkelig. Imidlertid er sårbarheter ikke lett å oppdage for potensielle angripere, så brukerne trenger ikke å bekymre seg for mye.
Så snilt. Nå kunne de endelig treffe fartshumpen. Det har gått utrolig tregt i flere måneder nå.