H Apple διορθώνει σημαντικό κενό ασφαλείας στο App Store

Ερευνητής ασφαλείας της Google δημοσίευσε ευρήματα σχετικά με σημαντικό κενό ασφαλείας που είχε ανακαλύψει στο App Store για iOS πριν λίγους μήνες ενημερώνοντας παράλληλα την Apple για το ζήτημα αυτό. Το πρόβλημα προκλήθηκε από την αδυναμία της Apple να υιοθετήσει

την κρυπτογράφηση HTTPS για τις συνδέσεις στο App Store κάτι που θα μπορούσε να έχει σημαντικές συνέπειες σε όποιον αποφάσιζε να εκμεταλλευτεί την αδυναμία αυτή.

Για παράδειγμα, οι χάκερς θα μπορούσαν να κλέψουν τον κωδικό του χρήστη, να εξαναγκάσουν τη λήψη ή αναβάθμιση εφαρμογών διαφορετικών από αυτές που θέλει ο χρήστης, να εμποδίσει την εγκατάσταση εφαρμογών ολοκληρωτικά, τη χρέωση εφαρμογών που εμφανίζονται δωρεάν αλλά δεν είναι κτλπ. Ο χάκερ θα πρέπει να βρίσκεται στο ίδιο ασύρματο Wi-Fi δίκτυο για να πραγματοποιηθεί η παραβίαση αλλά αυτό δεν είναι και τόσο περίεργο σενάριο σε δημόσιους χώρους όπως αεροδρόμια ή καφετέριες.

Η Apple έκλεισε (2013-01-23 itunes.apple.com) την «τρύπα» μετά από έξι μήνες – απαράδεκτα μεγάλος χρόνος για ένα τόσο σημαντικό κενό ασφαλείας – από την πρώτη ενημέρωση που έλαβε από τον ερευνητή. Από ότι φαίνεται δεν υπήρξε ποτέ μαζική εκμετάλλευση του κενού αυτού μιας και το App Store ανέκαθεν λειτουργούσε χωρίς κρυπτογράφηση HTTPS και μια παραβίαση τέτοιου μεγέθους θα είχε γνωστοποιηθεί σίγουρα.

[via Elie]

H Apple διορθώνει σημαντικό κενό ασφαλείας στο App Store

Σχετικά άρθρα:

H Apple ενεργοποιεί μία επιπλέον δικλείδα ασφαλείας στο App store, για την προστασία των χρηστών από φαινόμενα εξαπάτησηςH Apple απομακρύνει την εφαρμογή 500px από το App Store εξαιτίας γυμνών φωτογραφιών [UPDATED]H Evernote θα εφαρμόσει νέο σύστημα ασφαλείας μετά την επίθεση που δέχτηκε