Apple App Store neměl celé měsíce zabezpečení HTTPS

Podle zprávy výzkumní operoval Apple App Store měsíce bez ochrany šifrováním SSL. Apple oznámil, že problém vyřešil v lednu, ale původní objevitelé chyby o ní nepsali až do půle března. Elie Buersztainová, která pracuje v Googlu, a která byla jedna z nich, napsala: „Jsem skutečně šťastná, žej jsem ve svém volném čase donutila Apple, aby konečně začal chránit své uživatele pomocí HTTPS.“

Ellie spolu s Bernhardem Brehmem ze Recurity Labs a Rahulem Lyerem z Benjoi v červenci 2012 zjistila, že komunikace mezi App Store a zákazníky není šifrovaná. Tento nedostatek činí uživatele zranitelnými vůči mnoha typům útokům, zejména pokud se hlásí z veřejných sítí, jako jsou v kavárnách či na letištích.

Nejčastější hrozbou je krádež hesel. Pokud se uživatel přihlásí do App Store, útočník mu může podstrčit falešnou obrazovku s žádostí o opětovné zadání hesla. Získá tak kompletní Apple ID, identitu, která má pod kontrolou uživatelovu platební kartu, se kterou nakupuje hudbu a aplikace. Ale Apple ID má také přístup ke všem zálohám a seznamu kontaktů. Je to velmi citlivá záležitost, stejně jako v případě Facebooku a Googlu prozrazení hesla otevírá cestu k celému digitálnímu životu uživatele.

Další možností je zaměňování aplikací. Uživatelé mohou být zmanipulování k instalaci aplikace útočníka, místo té legitimní. Může to být například aplikace, která stojí peníze, místo té původní bezplatné. Anebo je to aplikace, která chce a umí získat přístup k celému obsahu mobilního zařízení, na kterém běží.

Stejně tak se Apple ID dá využít k falešným upgradům, tedy místo záměny instalovaných aplikací – kde uživatel instalaci musí odsouhlasit instalaci –, může dojít k upgradu aplikací a instalaci škodlivého kódu, aniž by to uživatel postřehl.

Jiným možným zneužitím je zabránění instalace aplikace, kdy lze uživatelovo zařízení přesvědčit, že aplikace již byla nainstalována. To může být „užitečné“ jako metoda, jak zabránit instalaci nějakého opravného, zabezpečujícího či antivirového řešení.

Komunita hackerů tyto možnosti diskutovala a demonstrovala. Vzhledem k minimálně třem měsícům, které trvalo tento problém odstranit, je zázrak, že k žádnému významnému útoku nedošlo. Alespoň o žádném nevíme, což samozřejmě není totéž. Limitujícím faktorem do jisté míry je, že ve většině případů se musí ten, kdo chce nechráněnou komunikaci odposlechnout, nacházet na té samé síti, nejlépe přístupovém bodu wifi.

Většina uživatelů nedokáže posoudit, případně ani nemá prostředky, jak zjistit, zda vůbec komunikace probíhá zabezpečeným způsobem. Pozitivní je, že řada vývojářů bude nucena se zamyslit a přehodnotit způsob, jakým její vlastní aplikace komunikují. V poslední době dochází k řadě bezpečnostní útoků a „situací“ – a jak tento případ ukazuje – zamyslet by se především měli velké společnosti, které rády poučují a formují způsoby chování svých uživatelů a přitom jsou sami až neskutečně lehkomyslné a ledabylé při práci s daty uživatelů.

Samotný Apple k celému případu zatím nevydal žádný komentář.