Michal Ždanský On melkein hälyttävää, kuinka kauan Apple on jättänyt käyttäjänsä, erityisesti kaikki App Storea käyttävät, alttiina App Storen ja yrityksen palvelimien välisen salaamattoman viestinnän mahdolliselle vaaralle. Vasta nyt Apple on alkanut käyttää HTTPS:ää, tekniikkaa, joka salaa tiedonkulun laitteen ja App Storen välillä.
Googlen tutkija Elie Burszstein kertoi ongelmasta perjantaina blogu. Jo viime vuoden heinäkuussa hän löysi vapaa-ajallaan useita Applen tietoturvan haavoittuvuuksia ja ilmoitti niistä yhtiölle. HTTPS on vuosia käytössä ollut tietoturvastandardi, joka tarjoaa salatun viestinnän loppukäyttäjän ja verkkopalvelimen välillä. Se yleensä estää hakkeria sieppaamasta kahden päätepisteen välistä viestintää ja poimimasta arkaluontoisia tietoja, kuten salasanoja tai luottokorttien numeroita. Samalla se tarkistaa, eikö loppukäyttäjä ole yhteydessä väärennetyn palvelimen kanssa. Tietoturvaverkkostandardia ovat soveltaneet jo jonkin aikaa esimerkiksi Google, Facebook tai Twitter.
Burszteinin blogikirjoituksen mukaan osa App Storesta oli jo suojattu HTTPS:n kautta, mutta osa jäi salaamatta. Hän esitteli hyökkäysmahdollisuuksia useissa videoissa YouTube, jossa hyökkääjä voi esimerkiksi huijata käyttäjiä huijaussivulla App Storessa asentamaan väärennettyjä päivityksiä tai syöttämään salasanan vilpillisen kehoteikkunan kautta. Hyökkääjälle riittää, että jakaa Wi-Fi-yhteys suojaamattomassa verkossa kohteensa kanssa tietyllä hetkellä.
Ottamalla HTTPS:n käyttöön Apple ratkaisi monia tietoturva-aukkoja, mutta tämä vaihe vei paljon aikaa. Ja silloinkin hän on kaukana voittamisesta. Yrityksen turvatoimien mukaan Qualyn Hänellä on edelleen halkeamia Applen suojauksessa HTTPS:n kautta ja hän kutsui sitä riittämättömäksi. Haavoittuvuudet eivät kuitenkaan ole helposti havaittavissa mahdollisille hyökkääjille, joten käyttäjien ei tarvitse huolehtia liikaa.
Kuinka ystävällistä. Nyt he saattoivat vihdoin osua nopeusalustaan. Se on ollut uskomattoman hidasta nyt useita kuukausia.