iOS jest bezpieczny, ale aplikacje i tak mogą „przepuszczać” Twoje dane

iOS jest bezpieczny, ale aplikacje i tak mogą „przepuszczać” Twoje dane

iOS jest bezpieczny, ale aplikacje i tak mogą „przepuszczać” Twoje dane
08.02.2017 16:25

System iOS jest bardzo dobrze zabezpieczony i jeśli chodzi o ochronę danych użytkowników, stoi na bardzo wysokim poziomie. Nie oznacza to jednak, że korzystając z urządzeń z jabłkiem jesteśmy zupełnie bezpieczni. Zdarza się, że można zaatakować przez aplikację – na przykład jedną z 76 aplikacji z kiepską implementacją TLS.

Specjaliści z verify.ly twierdzą, że w App Storze znajduje się 76 popularnych aplikacji, przez które można przeprowadzić atak typu „man-in-the-middle”. Możliwe jest „podsłuchiwanie” przesyłanych danych, które powinny być chronione przez Transport Layer Security (TLS), a także manipulowanie nimi i wysyłanie zmienionej wersji dalej. Nie pomaga App Transport Security Apple'a, który polega na zatwierdzaniu certyfikatów przez aplikację.

Podczas testów został wykorzystany iPhone z systemem iOS 10 i złośliwe proxy, dostarczające sfabrykowane certyfikaty TLS. Taki atak może przeprowadzić dostawcza Internetu, co jest mało prawdopodobne, przestępca z dostępem do czyjegoś routera domowego albo podszywający się pod publiczny hotspot. W tym ostatnim przypadku atak można przeprowadzić nawet z pomocą smartfonu i specjalnego oprogramowania – wystarczy znajdować się dostatecznie blisko ofiary.

Szczęśliwie aplikacje wrażliwe na te ataki nie są szczególnie popularne. Wszystkie razem mają jakieś 18 milionów pobrań, co w skali App Store'a nie jest szczególnym osiągnięciem. W raporcie wymienia się 33 aplikacje niskiego ryzyka, które dają dostęp do mało istotnych danych, jak adres e-mail czy dane logowania do nieznaczących usług. Jest wśród nich komunikator ooVoo i kilka narzędzi do obsługi Snapchata. 24 zostały ocenione jako „średnie ryzyko”, a 19 jako kluczowe, gdyż dają dostęp dodanych finansowych, medycznych, albo pozwalają zyskać dostęp do sesji zalogowanych użytkowników.

W raporcie zostały wymienione tylko 33 najmniej istotne aplikacje. Nazwy pozostałych zostaną upublicznione za 2-3 miesiące. Najpierw eksperci chcą dać czas ich twórcom na poprawienie zabezpieczeń. Tym razem niestety Apple nie może im pomóc – może najwyżej usunąć aplikacje ze sklepu. Może też ewentualnie zablokować możliwość akceptowania certyfikatów w aplikacjach, co z kolei „zepsuje” iOS-a z punktu widzenia firm, dostarczających własne usługi pracownikom.

By się bronić przed potencjalnymi atakami wystarczy unikać publicznych hotspotów. Ataki przez inne łącza (LTE, sieci domowe) są oczywiści możliwe, ale trudne i prawdopodobnie drogie.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
bezpieczeństwo
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (0)