Communicatie tussen de Apple App Store en gebruikers vindt eindelijk versleuteld plaats. Beveiligingsonderzoekers Elie Bursztein, Bernhard Brehm en Rahul Iyer hadden het probleem al in juli 2012 aan Apple gerapporteerd. Actieve content van de App Store, waaronder app pagina's en update pagina's, werden onversleuteld over HTTP aangeboden. Gebruikers liepen hierdoor risico.
Een aanvaller op bijvoorbeeld een WiFi-netwerk zou het verkeer kunnen onderscheppen en zo wachtwoorden kunnen stelen door een vals venster te injecteren, zoals uit onderstaande video van Bursztein blijkt.
Een andere mogelijkheid is het omwisselen van apps, waarbij een gratis app door een betaalde app wordt vervangen. Ook het manipuleren van upgrades en het voorkomen van installaties behoorde tot de mogelijkheden.
HTTPS
Hoewel het verkeer volgens Apple's eigen Web Server notifications sinds eind januari via HTTPS loopt, liet Bursztein vrijdag weten dat Apple het probleem had opgelost.
Op zijn eigen weblog demonstreert Bursztein, die zelf voor Google werkt, verschillende aanvallen. "In de hoop dat meer ontwikkelaars, en dan met name mobiele, HTTPS inschakelen", zo laat hij weten.
"Het inschakelen van HTTPS en ervoor zorgen dat certificaten geldig zijn, zijn het belangrijkste dat je kunt doen om de communicatie van je app te beveiligen. Laat je gebruikers niet in de steek en doe wat juist is: gebruik HTTPS!"
Deze posting is gelocked. Reageren is niet meer mogelijk.