Apple oбнoвилa систeму бeзoпaснoсти своего магазина приложений App Store: данные теперь не просто передаются по протоколу HTTP, а шифруются с помощью его расширения — HTTPS (подробнее об этом механизме см. в Wikipedia). Де-факто, обновление было выпущено ещё в конце января (см. список последних оповещений об изменениях на серверах компании здесь), однако широкой публике об этом стало известно сейчас, благодаря исследователю из Google и блоггеру Эли Берштейн (Elie Bursztein). В своём посте 8 марта он не только указал на введение HTTPS, но и раскрыл некоторые подробности своего взаимодействия с Apple.
По его словам, о возможных уязвимостях, связанных с отсутствием шифрования через HTTPS, он сообщил компании ещё в июле 2012 г. Основной урон мог быть нанесён в том случае, если злоумышленник с жертвой находились в одной сети Wi-Fi, к примеру, в публичных местах, таких как кафе, аэропорты и т.д. Как утверждает г-н Берштейн, речь идёт о таких махинациях, как:
- кража пароля, когда пользователь обновляет свои приложения (см. видео в конце этой новости),
- подмена приложения, которое хочет установить пользователь, в том числе бесплатного на платное,
- кража частной информации, такой как полный список установленных пользователем приложений
- и др.
Несмотря на то, что уязвимости теперь должны быть устранены, данная история, в целом, показывает, как мало пользователи, во всяком случае, не являющиеся специалистами, знают о том, что именно происходит с их данными, передаваемыми технологическим компаниям. С одной стороны, приведенный выше список исправляемых проблем, вывешиваемый на сайте Apple, демонстрирует, что компания постоянно работает над безопасностью, с другой — количество этих проблем не может не вызывать беспокойства.