Berta Sándor

Csak mítosz az Apple operációs rendszerének biztonságossága

Adatvédelem szempontjából megdöbbentő a helyzet az iOS operációs rendszerre készített szoftvereknél.

Thomas Jansen IT-szakértő a 200 legnépszerűbb ingyenes iOS-alkalmazás közül 111-ben talált sebezhetőségeket. Az ok nagyon egyszerű: a fejlesztők megkerülik az Apple irányelveit és a vállalat mindezt eltűri. A szakember korábban 8 éven át volt az Amerikai Egyesült Államokban az Apple munkatársa, most pedig a szoftverfejlesztésre és információbiztonságra szakosodott Crissy Field ügyvezetője. Mint kiderült, az alapvető probléma mindegyik érintett program esetében ugyanaz. A fejlesztők egyáltalán nem vagy csak alig gondoskodnak a fontos adatok, például a felhasználói nevek és a jelszavak titkosított továbbításáról. Az, ami a honlapok esetében magától értetődő, az a mobil szoftvereknél egyáltalán nem az.

A felhasználók naplófájljait ugyan titkosított csatornákon keresztül továbbítják az alkalmazások, de a programok azt nem vizsgálják, hogy a titkosításhoz szükséges tanúsítványok a megfelelő szervertől jönnek-e. Az azonosítási folyamatra egész egyszerűen nem kerül sor. Éppen ezért egy támadó bármely tetszőleges tanúsítványt bejuttathat a rendszerbe vagy megkísérelhet a hozzáférési adatokkal bejelentkezni különböző szolgáltatásokba. Az utóbbit elősegítheti, hogy sokan ugyanazt a jelszót használják több platformon is. Szintén könnyebbséget jelent, ha az elkövető ugyanazt a WLAN-kapcsolatot alkalmazza, mint a célszemély kiválasztott iPhone vagy iPad készüléke.

Az Apple az ilyen helyzeteket elvileg meg akarta akadályozni, amikor tavaly a fejlesztői konferenciáján bejelentette, hogy 2016 végétől mindegyik szoftvernek HTTPS-t kell használnia a felhasználói adatok továbbítására. A már 2015-ben bevezetett funkciót ATS-nek (App Transport Security) nevezik. Amennyiben megvalósítják, akkor nem lenne lehetőség a Jansen által leírt forgatókönyvek megvalósítására. A felhasználók ugyanis az ATS-nek köszönhetnek bízhatnak abban, hogy az alkalmazásaik az adatok küldésekor nem árulják el a különböző információkat. Az Apple azonban tavaly év végén azt írta, hogy több időt ad a fejlesztőknek az átállásra, ezért meghosszabbította a korábbi határidőt. Azóta eltelt közel egy év és semmi sem történt. Az ATS hivatalosan aktiválva van, de a programozók meghatározhatnak kivételeket, azokat viszont meg kell indokolniuk. Ugyanakkor minden ilyen lépés vizsgálatot von maga után és csak annak lezárulta után kerülhet a módosított szoftver az App Store kínálatába. Az Apple eddig még nem reagált a felvetésekre.

Jansen megkeresett 24 céget, akik összesen 51 alkalmazás elkészítéséért felelősek. A mai napig összesen 16 helyről válaszoltak neki, de csak öt vállalat foltozta be a biztonsági hibákat. Általában kétszer kellett írnia, mire egyáltalán választ kapott a jelzéseire, dDe volt, ahol csak a hatodik kísérletre reagáltak vagy egyáltalán nem válaszoltak. Egyes vállalatoknál még a kapcsolattartó címek kiderítése is komoly feladat volt. Jansen most csak iOS-szoftvereket vizsgált meg, de nagyon valószínűnek tűnik, hogy az Androidra készített alkalmazások esetében is hasonló a helyzet.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • asgh #10
    Kínai droidos telókban gyárilag telepített trójai van, nem hogy biztonsági frissítés.
    1 hónap használat után a telefon elkezdett random appokat letöltögetni a netről, a végén már ha bekapcsoltam a wifit kezelhetetlenné vált a telefon. Komplett rendszer újrahúzás után fél nappal ugyanez.
    Egyedül rootolás és főzött rom feltelepítés után szabadultam meg a szarjaiktól.
  • M2 #9
    Ettől még tény marad, hogy jelenleg ha a legbiztonságosabb készüléket keresed, az az iPhone. Viszont messziről kerüld az Androidot, még messzebbről a Windowst és kurvára felejtsd el a kínai Androidos telókat.
  • Kurfürst #8
    Gyenge próbálkozás.
  • cateran #7
    Egyreszt sokkal lassabban terjed, mint az elodei...https://www.theverge.com/circuitbreaker/2017/11/7/16621020/ios-11-adoption-52-percent-lagging-10-9-iphone-ipad-operating-system

    masreszt...

    Milyen elegedettek az ios 11-gyel....https://www.macrumors.com/2017/10/19/ios-11-adoption-one-month/

    Harmadreszt ebben az 52%-ban minden benne van, nemcsak az iPhoneok...de amugy tokre jo volt a kommented...ja, nem...
  • Kurfürst #6
    Kár hogy a "többezer" sebezhetőségi pont 99% százalékánál oda van írva a CVE adatbázisban is, hogy iOS 11 vagy valami régebbi verziószámot érint csak.... És ez a lényeg.

    Sebezhetőségek mindig lesznek, minden oprendszeren. Csak épp amíg körtééknél ha felfedezik a sebezhetőséget, javítják és meg is kapod a rendszeresen frissítést ami megvéd, és a most 4 éves 5S-ig bezárólag minden telefon meg is kapja.

    Jelen állapotban a szifonok 47%-a használ v 11-et és rohadt gyorsan nőni fog tovább (egy hónap alatt duplázódott), 48% iOS 10-et, és csak valami 4% használ annál régebbi verziót.

    Winfos biztonsági frissítés? Muhhahhaha. Hányszor jelentették ki, hogy bocs a régebbi telókat az új verziószámtól kezdve egyszerűen leszarjuk.. nem csoda hogy már nem is létezik.
    Androidon frissítés? Ugyan már, esetleg, talán, még a flagshipek is alig alig frissülnek, hacsak nem Nexust vettél.
  • Aquator #5
    Ja, dumb keresésre 2x annyi windows hit van mint iOS. A kb 2000 iOS hibából van vagy 10, ami nem elavult verziós, vagy third party. Csak a Microsoft Edgre-re 30x ennyi van, de persze, statisztikailag rosszabb.
  • ZenMillitia #4
    mitosz az uj aduasz? ami nem tetszik az mitosz. oke. DKs vagos kamuszkeptikus idiota style
    Utoljára szerkesztette: ZenMillitia, 2017.11.07. 20:57:07
  • Ender Wiggin #3
    Akkor nyilván az az többszáz (a 2017-es verziókban, a régiekkel együtt többezer) sebezhetőségi pont is csak klikkbait, amit számon tart az egyik adatbázis (CVE). És a poén az, hogy statisztikailag rosszabb az iOS, mint a Winfosok.
  • Kurfürst #2
    Jó nagy clickbait a szalagcím, amiben az szerepel, hogy maga az oprendszer sebezhető, aztán villámgyorsan kiderül, hogy csak az appok nem viszik túlzásba a titkosítást, az oprendszernek kutya baja.

    Más kérdés hogy olyan appot se nagyon láttam még, ami személyes adatot kért volna, az a néhány amelyik meg igen (jellemzően banki, esetleg közösségi oldalak) pedig biztos lehetsz benne, hogy igen.
  • Tikal #1
    ez a nagy mítosz? ügyes vagy :D