苹果接受Google专家建议,提高应用商店安全级别
这个标题足够讽刺,苹果首席执行官蒂姆库克数天前还公开抨击Android是恶意软件的大本营,而苹果公司却接受Google研究员在内的安全专家的建议提高应用商店的安全性。事实上,苹果应用商店确实存在严重的安全漏洞,用户在公共WiFi热点购买app面临数据失窃甚至app消费欺诈等危险。
苹果应用商店昨日宣布全面启用安全网页浏览协议HTTPS,此举修补了应用商店的一些安全漏洞,防止黑客窃取包括密码在内的用户数据,强迫用户安装、购买app。
在接到包括Google研究员Elie Bursztein在内的多位安全专家的漏洞警告后,苹果今年早些时候进行过一次安全升级,宣布所有动态内容都默认采用https协议。
Bursztein上周五在博客中指出:
苹果之前未能让应用商店的所有通讯都切换到https协议(除了支付页面外),而且苹果应用商店动态页面的生成方式也让用户容易遭受网络攻击,黑客可以通过公共Wi-Fi热点截获未经加密的http网络数据包。
“攻击者只需要与受害者处于同一网络就可实施“中间人”攻击。”Bursztein说道。
在苹果将应用商店升级到https之前,攻击者可以“中间人攻击”等手段窃取用户隐私数据,让用户在不知不觉中被强制消费。例如,攻击者可以在应用商店的应用升级机制中推送假的密码输入提示,从而截获用户账户密码;此外攻击者还可以将用户下载的免费应用悄悄替换成付费应用,用户在不知不觉中购买付费应用。(免费应用和付费应用都需要输入账户密码)
有趣的是,虽然苹果应用商店相比Google Play更为封闭恶意软件也更少,但是苹果在消费者信息安全保护方面的动作却非常滞后。Google早在2010年就已经全面启用HTTPS,包括Gmail。2011年Facebook也开始采用HTTPS,去年将其升级为默认协议,Twitter也是去年就全面升级到了HTTPS。
去年,Mozilla宣布其火狐浏览器Firefox将默认访问网站的https版本,作为对HTTPS everywhere活动的响应。
事实上,正是火狐浏览器的一个黑客插件Firesheep引起了业界对HTTPS的高度重视。Firesheep插件可以在公共热点截获未经加密的http明文数据包,窃取用户数据隐私。
如今,随着苹果也最终加入HTTPS的行列,HTTPS everywhere的理想距离现实更近一步。Bursztein认为,苹果的加入有助于推动更多的开发者——尤其是移动开发者——开始采用HTTPS。“启用HTTPS并确保证书的有效性是保障app通讯安全最重要的措施。”Bursztein说道。
第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom
除非注明,本站文章均为原创或编译,未经许可严禁转载。
相关文章: