Міхал Жданський Майже насторожує, як довго Apple залишала своїх користувачів, особливо всіх тих, хто користується App Store, наражаючись на потенційну небезпеку незашифрованого зв’язку між App Store і серверами компанії. Тільки зараз Apple почала використовувати HTTPS, технологію, яка шифрує потік даних між пристроєм і App Store.
У п'ятницю про проблему повідомив дослідник Google Елі Бурштейн блог. Уже в липні минулого року він у вільний час виявив кілька вразливостей в безпеці Apple і повідомив про них в компанію. HTTPS — це стандарт безпеки, який використовується роками та забезпечує зашифрований зв’язок між кінцевим користувачем і веб-сервером. Зазвичай це запобігає перехопленню хакером зв’язку між двома кінцевими точками та вилученню конфіденційних даних, таких як паролі чи номери кредитних карток. Водночас він перевіряє, чи не спілкується кінцевий користувач із підробленим сервером. Веб-стандарт безпеки деякий час застосовували, наприклад, Google, Facebook або Twitter.
Згідно з публікацією в блозі Бурштейна, частина App Store вже була захищена через HTTPS, але інші частини залишилися незашифрованими. Він продемонстрував можливості атаки в кількох відео на YouTube, де, наприклад, зловмисник може змусити користувачів підробленої сторінки в App Store встановити підроблені оновлення або ввести пароль через шахрайське вікно запиту. Для зловмисника достатньо поділитися Wi-Fi з'єднанням у незахищеній мережі зі своєю ціллю в даний момент.
Увімкнувши HTTPS, Apple усунула багато дірок у безпеці, але цей крок зайняв багато часу. І навіть тоді він далекий від перемоги. За даними безпеки компанії Кваліс вона все ще має тріщини в системі безпеки Apple через HTTPS і назвала це неадекватним. Однак потенційним зловмисникам нелегко виявити вразливості, тому користувачам не варто надто хвилюватися.
Як мило. Тепер вони нарешті змогли врізатися в лежачий поліцейський. Ось уже кілька місяців це неймовірно повільно.