Устранена серьезная уязвимость в App Store

35

app-store

Безопасность данных клиентов App Store всегда была одной из самых приоритетных задач для корпорации. Однако в середине прошлого года Эли Бурштейн, специалист по безопасности Google, обнаружил серьезную уязвимость в магазине приложений Apple.

Сейчас конфиденциальной информации пользователей ничего не угрожает, сообщает портал Ars Technica со ссылкой на представителей компании. 23 февраля в Купертино закрыли очередную лазейку для компьютерных преступников. Что же стало причиной для беспокойства экспертов?

Дело в том, что ранее для доступа к контенту iTunes Apple использовала незащищенный протокол HTTP, в результате чего хакеры могли похитить пароли от учетных записей клиентов и даже загрузить удаленно любые приложения. Теперь инженеры технологического гиганта исправили эту оплошность и полностью перевели магазин на зашифрованный протокол HTTPS. Скажем прямо, разработчики действовали не слишком оперативно, но лучше уж поздно, чем вообще никогда.

В прошлом году Apple ужесточила систему защиты App Store и заставила своих покупателей использовать секретные вопросы в учетных записях. Во многом это было сделано для того, чтобы предотвратить несанкционированный доступ к аккаунту. Владельцы часто привязывают к ним кредитные карты, на которых бывает по несколько тысяч долларов. И если взлом записи произошел бы по вине Apple, ей пришлось бы возмещать убытки, как она делала это раньше.

Вот и становится понятно, почему клиенты так неохотно доверяют свои личные данные компании из Купертино. Повезло еще, что эту дыру вовремя обнаружили, а то ведь все могло закончиться намного хуже. В своем блоге Бурштейн выложил один из возможных вариантов исхода событий, и надо признать, отнюдь не самый страшный.

Несмотря на решение проблемы, эксперты из компании Qualys, занимающиеся информационной безопасностью, пока ставят App Store одни из самых низких оценок. Но не надо волноваться: выявленные программистами уязвимости очень сложно использовать для взлома аккаунта или операции, изображенной на видео выше. Зато для программистов Apple это очередной сигнальный маячок — надо постоянно работать над улучшением системы безопасности.

Когда известны такие подробности, порой становится как-то не по себе. Однако лучше пусть все эти пробоины быстро выявляются и оперативно устраняются, чем злоумышленники начнут использовать их против нас. В конце концов, следующей жертвой хакеров не хочет оказаться никто.

Александр Богданов

35 комментариев

  1. 0
    Ивент Неродимый

    Давно пора (отправлено из приложения AppleInsider.ru)

  2. 0
    kulez.aleksandr

    Можно подумать гугл плей лучше защищен. Да там зловреды кишмя кишат. Особо в разделе халявы. Скачал я однажды обои морозное окошко спс дрвэбу… (отправлено из приложения AppleInsider.ru)

    • 0

      kulez.aleksandr, Я с тобой согласен был Samsung s3
      Потом купил iPhone 5. Samsung и в подсветки не годится! iPhone лутше!
      Так и App Store (отправлено из приложения AppleInsider.ru)

      • 0

        bur.a, У самсунга нет «подсветок», к сожалению. И речь в статье не о вирусах, а об уязвимости пароля от вашего аккаунта, который по незащищенному протоколу перехватить очень легко. В google play давно используется https, так что там с данными все в порядке.

        • 0

          rut, + (отправлено из приложения AppleInsider.ru)

        • 0

          rut, В гугле даже поиск через https работает, вообще абсолютно все службы гугла работают через ssl.
          Морозное окошко? доктор веб? че? че че? При установке вас не смущала надпись вроде «Платные услуги смс» и кстати качал я это морозное окошко, норм обои были без смс в разрешениях.
          Вообще есть https://play.google.com/store/apps/details?id=com.lbe.security.lite&hl=en эти штука работает только с рутом, и позволяет при запросе тех же смс запрещать их. Т.е. с этой прогой у вас мышь не пискнет пока вы не разрешите.

    • 0

      kulez.aleksandr, Вас кто нибудь просил у гугле напоминать???? (отправлено из приложения AppleInsider.ru)

      • 0
        Гость

        Arkanfel, Вирус, ты опять принимаешь желаемое за действительное
        Не свисти, сколько раз тебе замечания будут делать?
        Покажи мне здесь зашифрованый https http://cl.ly/image/250m2W003u3O

        • 0
          Гость

          Гость, Это не гугл, а браузер ищет по протоколу https.
          Не путать палец с тем, что у мужчины ниже пояса, но выше колена.

          • 0
            Бальдр

            Гость, Мусье сказочник? И как браузер ищет по защишенному протоколу? Кто создает соединение? Может попробуете авторизоваться в гугле, мужчинка?

        • 0

          Гость, А вы не залогинены 🙂 шифруется только когда ваш личный поиск и ваш логин. https://docs.google.com/file/d/0B_xfHRYO0QGAQ1NnVUJvSkFLcEU/edit?usp=sharing если вы залогинены в гугле без ssl поиск работать не будет.

          • 0
            Проходя мимо

            Bupyc, Ну вы даёте. Прежде чем забить запрос на поиск прямо в строку, вы предлагаете сперва зайти на страницу гугла и зарегиться?
            Да вы гоните оба. Мне нужен результат поиска, а не выводы инженеров корпорации добра что именно мне подкидывать в ответах.
            Да, я не пользуюсь нигде поделкой с названием из таблицы Менделеева.

            • 0
              Проходя мимо

              Проходя, От браузера то-же много зависит. Сафари 6 ищет по протоколу https даже без регистрации. Oстальные до входа в гугл ищут без шифрования, а после используя протокол TLS и ещё и разные версии.
              http://s019.radikal.ru/i619/1303/25/253e6d7c0b9a.jpg

              • 0
                Бальдр

                Проходя, Т.е. сафари использует сервер эппл как ссл прокси? Как, прям, опера мини, да?

              • 0
                Гость

                Проходя, Вирус, обрати внимание на скрин из Хрома.
                «Подключение не использует сжатие SSL»

                • 0

                  Гость, И? Сжатие думаешь вдруг через эпл тебе пойдет? Сжатие SSL это лишь дополнительный параметр. Я тебе больше скажу, ты наверное не подозреваешь, но большая часть сайтов в интернете использует gzip сжатие, экономя трафик и увеличивая скорость загрузки.

            • 0

              Проходя, В андроиде все службы гугла всегда работают через HTTPS т.к. включен гугл-акк. И браузер автоматически логинится в гугле и работает из за этого в HTTPS. Также на компе в хром забит гугл-акк и он тоже сам логинится. Я не захожу в гугл, он сам в него заходит.
              Ты не используешь гугл?)

  3. 0

    Вот низачто не поверю в передачу пароля по незащищенному протоколу (отправлено из приложения AppleInsider.ru)

    • 0

      doda, пароль могли хешировать. Но дело в том, что при аккуратном использовании хеш можно использовать в качестве пароля. (отправлено из приложения AppleInsider.ru)

  4. 0

    Пффф кто правда захочет тот взломает 😀

  5. 0
    Проходя мимо

    Что вы несёте? Вы сами то хоть верите?
    С момента зарождения AppStore протокол использовался https.
    Новый Касперский появился! Ладно бы кто независимый что нашёл, а тут представитель Google. Пиар и очень некрасивый

  6. 0

    А видео походу удалили на ютубе. Что-то не показывает из приложения. (отправлено из приложения AppleInsider.ru)

  7. 0

    Не зря я не доверяю! (отправлено из приложения AppleInsider.ru)

  8. 0

    Мда… если данные действительно передавались всё это время по незащищенному HTTP, то все данные мог перехватить даже любой украинский школьник. 🙂 даже если всё и шифровалось в md5 хеш, то его расшифровка — дело пятое, ибо полно серверов для его расшифровки. В общем, Apple жжот. 😀 (отправлено из приложения AppleInsider.ru)

  9. 0
    Pablo Escobar

    Если смотреть видео через приложение appleinsider для Iphone, то название у видео «IOs App Store fake upgrade attack»
    Так о чём тогда новость, если это «fake upgrade attack»????????????

    • 0
      Александр Богданов

      Pablo, Ну так все правильно «ложное обновление», которое на самом деле нет, отсылается на устройство хакером. Отсюда и fake. (отправлено из приложения AppleInsider.ru)

  10. 0
    Гость

    Да как всегда ни о чём

Авторизуйтесь Чтобы оставить комментарий