Michal Ždanský Dit is amper kommerwekkend hoe lank Apple sy gebruikers, spesifiek almal wat die App Store gebruik, blootgestel gelaat het aan die potensiële gevaar van ongeënkripteerde kommunikasie tussen die App Store en die maatskappy se bedieners. Eers nou het Apple HTTPS begin gebruik, ’n tegnologie wat die datavloei tussen die toestel en die App Store enkripteer.
Google-navorser Elie Bursztein het Vrydag oor die probleem berig blog. Reeds in Julie verlede jaar het hy verskeie kwesbaarhede in Apple se sekuriteit in sy vrye tyd ontdek en dit by die maatskappy aangemeld. HTTPS is 'n sekuriteitstandaard wat al jare in gebruik is en verskaf geïnkripteer kommunikasie tussen 'n eindgebruiker en 'n webbediener. Dit verhoed gewoonlik 'n kuberkraker om kommunikasie tussen twee eindpunte te onderskep en sensitiewe data, soos wagwoorde of kredietkaartnommers, te onttrek. Terselfdertyd kyk dit of die eindgebruiker nie met die vals bediener kommunikeer nie. Die sekuriteitswebstandaard word al geruime tyd deur byvoorbeeld Google, Facebook of Twitter toegepas.
Volgens Bursztein se blogplasing was 'n deel van die App Store reeds via HTTPS beveilig, maar ander dele is ongeënkripteer gelaat. Hy het die aanvalmoontlikhede in verskeie video's op gedemonstreer YouTube, waar 'n aanvaller byvoorbeeld gebruikers met 'n bedrieglike bladsy in die App Store kan mislei om vals opdaterings te installeer of 'n wagwoord in te voer deur 'n bedrieglike aansporingsvenster. Vir 'n aanvaller is dit genoeg om 'n Wi-Fi-verbinding op 'n onbeskermde netwerk op 'n gegewe oomblik met sy teiken te deel.
Deur HTTPS aan te skakel, het Apple baie sekuriteitsgate opgelos, maar dit het baie tyd geneem met hierdie stap. En selfs dan is hy nog lank nie ’n oorwinning nie. Volgens maatskappy sekuriteit Qualy's sy het steeds krake in Apple se sekuriteit oor HTTPS en noem dit onvoldoende. Kwesbaarhede is egter nie maklik opspoorbaar vir potensiële aanvallers nie, so gebruikers hoef nie te veel bekommerd te wees nie.
Hoe gaaf. Nou kon hulle uiteindelik die spoedhobbel tref. Dit is nou al vir 'n paar maande ongelooflik stadig.