В конце февраля Apple улучшила уровень безопасности в App Store, хотя проблема с защитой пользовательских учетных записей была выявлена больше полугода назад. Об этом еще в июле 2012 года компанию уведомил специалист по безопасности из Google Эли Бурштейн. Он обнаружил в системе защиты iTunes слабое место, связанное с незашифрованным HTTP-протоколом, который использовался вместо HTTPS при подключении к сервису.
По словам Бурштейна, в теории злоумышленник мог бы воспользоваться уязвимостью для похищения паролей пользователей или обманной загрузки нужных ему программ вместо выбранных жертвой. Также он в силах и вовсе помешать установке программ на iOS-устройство или способен сканировать уже загруженные приложения. О вариантах и последствиях атак исследователь записал несколько видеороликов и выложил их в Сети:
О том, что уязвимость устранена, компания сообщила еще 23 февраля в разделе Apple Web Server Notifications, хотя это не особо афишировалось и данные всплыли лишь сейчас. Там же она поблагодарила активистов, которые помогли в выявлении проблемы, а именно, Эли Бурштейна, Бернарда Брема из Recurity Labs и Рауля Айера из Bejoi LLC. Apple не стала выдумывать велосипед и банально реализовала доступ к активному контенту в iTunes через защищенный протокол HTTPS.
Стоит отметить, что на прочность App Store проверялся злоумышленниками уже не раз. Так, в 2010 году Apple пришлось усилить систему защиты сервиса из-за серии инцидентов со взломом пользовательских аккаунтов. Тогда многие владельцы iOS-устройств потеряли сотни долларов со своих учетных записей. В 2012-м Apple вновь пришлось поработать с протоколами системы безопасности iTunes. В результате этого теперь мы обязаны использовать секретные вопросы для доступа к аккаунтам с нового или чужого устройства. [ai]
8 комментариев