ミハル・ジダンスキー Apple がユーザー、特に App Store を使用するすべてのユーザーを、App Store と会社のサーバー間の暗号化されていない通信の潜在的な危険にどれだけ長くさらしてきたかは、ほとんど憂慮すべきことです。 Apple は今になって初めて、デバイスと App Store の間のデータ フローを暗号化するテクノロジーである HTTPS の使用を開始しました。
Googleの研究者Elie Bursztein氏が金曜日にこの問題について報告した blogu。すでに昨年7月に、彼は暇なときにAppleのセキュリティの脆弱性をいくつか発見し、同社に報告していた。 HTTPS は長年使用されているセキュリティ標準であり、エンド ユーザーと Web サーバー間の暗号化通信を提供します。通常、ハッカーが 2 つのエンドポイント間の通信を傍受し、パスワードやクレジット カード番号などの機密データを抽出することを防ぎます。同時に、エンドユーザーが偽のサーバーと通信していないかどうかを確認します。セキュリティ Web 標準は、Google、Facebook、Twitter などによってしばらく適用されてきました。
Bursztein 氏のブログ投稿によると、App Store の一部はすでに HTTPS 経由で保護されていましたが、他の部分は暗号化されていないままでした。彼は、いくつかのビデオで攻撃の可能性を実証しました。 YouTubeたとえば、攻撃者は、App Store の偽装ページでユーザーをだまして、偽のアップデートをインストールしたり、不正なプロンプト ウィンドウからパスワードを入力させたりすることができます。攻撃者にとっては、ある時点で保護されていないネットワーク上の Wi-Fi 接続をターゲットと共有するだけで十分です。
Apple は HTTPS を有効にすることで多くのセキュリティ ホールを解決しましたが、この手順に多くの時間がかかりました。そしてそれでも、彼は勝利には程遠い。会社のセキュリティによると Qualys 彼女は、HTTPS を介した Apple のセキュリティにはまだ脆弱性があり、それが不十分であると主張しました。ただし、潜在的な攻撃者にとって脆弱性は簡単に発見できないため、ユーザーはあまり心配する必要はありません。
どのような種類。今、彼らはついにスピードバンプに到達することができました。ここ数ヶ月、信じられないほど遅いです。