r   e   k   l   a   m   a
r   e   k   l   a   m   a

iOS jest bezpieczny, ale aplikacje i tak mogą „przepuszczać” Twoje dane

Strona główna AktualnościBEZPIECZEŃSTWO

System iOS jest bardzo dobrze zabezpieczony i jeśli chodzi o ochronę danych użytkowników, stoi na bardzo wysokim poziomie. Nie oznacza to jednak, że korzystając z urządzeń z jabłkiem jesteśmy zupełnie bezpieczni. Zdarza się, że można zaatakować przez aplikację – na przykład jedną z 76 aplikacji z kiepską implementacją TLS.

Specjaliści z verify.ly twierdzą, że w App Storze znajduje się 76 popularnych aplikacji, przez które można przeprowadzić atak typu „man-in-the-middle”. Możliwe jest „podsłuchiwanie” przesyłanych danych, które powinny być chronione przez Transport Layer Security (TLS), a także manipulowanie nimi i wysyłanie zmienionej wersji dalej. Nie pomaga App Transport Security Apple'a, który polega na zatwierdzaniu certyfikatów przez aplikację.

Podczas testów został wykorzystany iPhone z systemem iOS 10 i złośliwe proxy, dostarczające sfabrykowane certyfikaty TLS. Taki atak może przeprowadzić dostawcza Internetu, co jest mało prawdopodobne, przestępca z dostępem do czyjegoś routera domowego albo podszywający się pod publiczny hotspot. W tym ostatnim przypadku atak można przeprowadzić nawet z pomocą smartfonu i specjalnego oprogramowania – wystarczy znajdować się dostatecznie blisko ofiary.

r   e   k   l   a   m   a

Szczęśliwie aplikacje wrażliwe na te ataki nie są szczególnie popularne. Wszystkie razem mają jakieś 18 milionów pobrań, co w skali App Store'a nie jest szczególnym osiągnięciem. W raporcie wymienia się 33 aplikacje niskiego ryzyka, które dają dostęp do mało istotnych danych, jak adres e-mail czy dane logowania do nieznaczących usług. Jest wśród nich komunikator ooVoo i kilka narzędzi do obsługi Snapchata. 24 zostały ocenione jako „średnie ryzyko”, a 19 jako kluczowe, gdyż dają dostęp dodanych finansowych, medycznych, albo pozwalają zyskać dostęp do sesji zalogowanych użytkowników.

W raporcie zostały wymienione tylko 33 najmniej istotne aplikacje. Nazwy pozostałych zostaną upublicznione za 2-3 miesiące. Najpierw eksperci chcą dać czas ich twórcom na poprawienie zabezpieczeń. Tym razem niestety Apple nie może im pomóc – może najwyżej usunąć aplikacje ze sklepu. Może też ewentualnie zablokować możliwość akceptowania certyfikatów w aplikacjach, co z kolei „zepsuje” iOS-a z punktu widzenia firm, dostarczających własne usługi pracownikom.

By się bronić przed potencjalnymi atakami wystarczy unikać publicznych hotspotów. Ataki przez inne łącza (LTE, sieci domowe) są oczywiści możliwe, ale trudne i prawdopodobnie drogie.

© dobreprogramy

Komentarze

Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.