Michal Ždanský Het is bijna alarmerend hoe lang Apple zijn gebruikers, en vooral al degenen die de App Store gebruiken, heeft blootgesteld aan het potentiële gevaar van niet-versleutelde communicatie tussen de App Store en de servers van het bedrijf. Pas nu is Apple begonnen met het gebruik van HTTPS, een technologie die de gegevensstroom tussen het apparaat en de App Store versleutelt.
Google-onderzoeker Elie Bursztein rapporteerde vrijdag over het probleem blogu. Al in juli vorig jaar ontdekte hij in zijn vrije tijd verschillende kwetsbaarheden in de beveiliging van Apple en meldde deze aan het bedrijf. HTTPS is een beveiligingsstandaard die al jaren in gebruik is en zorgt voor gecodeerde communicatie tussen een eindgebruiker en een webserver. Het voorkomt doorgaans dat een hacker de communicatie tussen twee eindpunten onderschept en er gevoelige gegevens uit haalt, zoals wachtwoorden of creditcardnummers. Tegelijkertijd controleert het of de eindgebruiker niet communiceert met de nepserver. De beveiligingswebstandaard wordt al enige tijd toegepast door bijvoorbeeld Google, Facebook of Twitter.
Volgens de blogpost van Bursztein was een deel van de App Store al beveiligd via HTTPS, maar bleven andere delen niet-versleuteld. Hij demonstreerde de aanvalsmogelijkheden in verschillende video's op YouTube, waarbij een aanvaller bijvoorbeeld gebruikers met een vervalste pagina in de App Store kan misleiden om valse updates te installeren of een wachtwoord in te voeren via een frauduleus promptvenster. Voor een aanvaller is het voldoende om op een gegeven moment een wifi-verbinding op een onbeveiligd netwerk te delen met zijn doelwit.
Door HTTPS in te schakelen heeft Apple veel beveiligingslekken opgelost, maar deze stap kostte veel tijd. En zelfs dan is hij nog lang niet van de overwinning. Volgens de bedrijfsbeveiliging Qualy's ze heeft nog steeds scheuren in de beveiliging van Apple via HTTPS en noemt deze ontoereikend. Kwetsbaarheden zijn echter niet gemakkelijk te ontdekken voor potentiële aanvallers, dus gebruikers hoeven zich niet al te veel zorgen te maken.
Hoe aardig. Nu konden ze eindelijk de verkeersdrempel op. Het gaat al maanden ongelooflijk langzaam.