Berta Sándor
Csak mítosz az Apple operációs rendszerének biztonságossága
Adatvédelem szempontjából megdöbbentő a helyzet az iOS operációs rendszerre készített szoftvereknél.
Thomas Jansen IT-szakértő a 200 legnépszerűbb ingyenes iOS-alkalmazás közül 111-ben talált sebezhetőségeket. Az ok nagyon egyszerű: a fejlesztők megkerülik az Apple irányelveit és a vállalat mindezt eltűri. A szakember korábban 8 éven át volt az Amerikai Egyesült Államokban az Apple munkatársa, most pedig a szoftverfejlesztésre és információbiztonságra szakosodott Crissy Field ügyvezetője. Mint kiderült, az alapvető probléma mindegyik érintett program esetében ugyanaz. A fejlesztők egyáltalán nem vagy csak alig gondoskodnak a fontos adatok, például a felhasználói nevek és a jelszavak titkosított továbbításáról. Az, ami a honlapok esetében magától értetődő, az a mobil szoftvereknél egyáltalán nem az.
A felhasználók naplófájljait ugyan titkosított csatornákon keresztül továbbítják az alkalmazások, de a programok azt nem vizsgálják, hogy a titkosításhoz szükséges tanúsítványok a megfelelő szervertől jönnek-e. Az azonosítási folyamatra egész egyszerűen nem kerül sor. Éppen ezért egy támadó bármely tetszőleges tanúsítványt bejuttathat a rendszerbe vagy megkísérelhet a hozzáférési adatokkal bejelentkezni különböző szolgáltatásokba. Az utóbbit elősegítheti, hogy sokan ugyanazt a jelszót használják több platformon is. Szintén könnyebbséget jelent, ha az elkövető ugyanazt a WLAN-kapcsolatot alkalmazza, mint a célszemély kiválasztott iPhone vagy iPad készüléke.
Az Apple az ilyen helyzeteket elvileg meg akarta akadályozni, amikor tavaly a fejlesztői konferenciáján bejelentette, hogy 2016 végétől mindegyik szoftvernek HTTPS-t kell használnia a felhasználói adatok továbbítására. A már 2015-ben bevezetett funkciót ATS-nek (App Transport Security) nevezik. Amennyiben megvalósítják, akkor nem lenne lehetőség a Jansen által leírt forgatókönyvek megvalósítására. A felhasználók ugyanis az ATS-nek köszönhetnek bízhatnak abban, hogy az alkalmazásaik az adatok küldésekor nem árulják el a különböző információkat. Az Apple azonban tavaly év végén azt írta, hogy több időt ad a fejlesztőknek az átállásra, ezért meghosszabbította a korábbi határidőt. Azóta eltelt közel egy év és semmi sem történt. Az ATS hivatalosan aktiválva van, de a programozók meghatározhatnak kivételeket, azokat viszont meg kell indokolniuk. Ugyanakkor minden ilyen lépés vizsgálatot von maga után és csak annak lezárulta után kerülhet a módosított szoftver az App Store kínálatába. Az Apple eddig még nem reagált a felvetésekre.
Jansen megkeresett 24 céget, akik összesen 51 alkalmazás elkészítéséért felelősek. A mai napig összesen 16 helyről válaszoltak neki, de csak öt vállalat foltozta be a biztonsági hibákat. Általában kétszer kellett írnia, mire egyáltalán választ kapott a jelzéseire, dDe volt, ahol csak a hatodik kísérletre reagáltak vagy egyáltalán nem válaszoltak. Egyes vállalatoknál még a kapcsolattartó címek kiderítése is komoly feladat volt. Jansen most csak iOS-szoftvereket vizsgált meg, de nagyon valószínűnek tűnik, hogy az Androidra készített alkalmazások esetében is hasonló a helyzet.
Thomas Jansen IT-szakértő a 200 legnépszerűbb ingyenes iOS-alkalmazás közül 111-ben talált sebezhetőségeket. Az ok nagyon egyszerű: a fejlesztők megkerülik az Apple irányelveit és a vállalat mindezt eltűri. A szakember korábban 8 éven át volt az Amerikai Egyesült Államokban az Apple munkatársa, most pedig a szoftverfejlesztésre és információbiztonságra szakosodott Crissy Field ügyvezetője. Mint kiderült, az alapvető probléma mindegyik érintett program esetében ugyanaz. A fejlesztők egyáltalán nem vagy csak alig gondoskodnak a fontos adatok, például a felhasználói nevek és a jelszavak titkosított továbbításáról. Az, ami a honlapok esetében magától értetődő, az a mobil szoftvereknél egyáltalán nem az.
A felhasználók naplófájljait ugyan titkosított csatornákon keresztül továbbítják az alkalmazások, de a programok azt nem vizsgálják, hogy a titkosításhoz szükséges tanúsítványok a megfelelő szervertől jönnek-e. Az azonosítási folyamatra egész egyszerűen nem kerül sor. Éppen ezért egy támadó bármely tetszőleges tanúsítványt bejuttathat a rendszerbe vagy megkísérelhet a hozzáférési adatokkal bejelentkezni különböző szolgáltatásokba. Az utóbbit elősegítheti, hogy sokan ugyanazt a jelszót használják több platformon is. Szintén könnyebbséget jelent, ha az elkövető ugyanazt a WLAN-kapcsolatot alkalmazza, mint a célszemély kiválasztott iPhone vagy iPad készüléke.
Az Apple az ilyen helyzeteket elvileg meg akarta akadályozni, amikor tavaly a fejlesztői konferenciáján bejelentette, hogy 2016 végétől mindegyik szoftvernek HTTPS-t kell használnia a felhasználói adatok továbbítására. A már 2015-ben bevezetett funkciót ATS-nek (App Transport Security) nevezik. Amennyiben megvalósítják, akkor nem lenne lehetőség a Jansen által leírt forgatókönyvek megvalósítására. A felhasználók ugyanis az ATS-nek köszönhetnek bízhatnak abban, hogy az alkalmazásaik az adatok küldésekor nem árulják el a különböző információkat. Az Apple azonban tavaly év végén azt írta, hogy több időt ad a fejlesztőknek az átállásra, ezért meghosszabbította a korábbi határidőt. Azóta eltelt közel egy év és semmi sem történt. Az ATS hivatalosan aktiválva van, de a programozók meghatározhatnak kivételeket, azokat viszont meg kell indokolniuk. Ugyanakkor minden ilyen lépés vizsgálatot von maga után és csak annak lezárulta után kerülhet a módosított szoftver az App Store kínálatába. Az Apple eddig még nem reagált a felvetésekre.
Jansen megkeresett 24 céget, akik összesen 51 alkalmazás elkészítéséért felelősek. A mai napig összesen 16 helyről válaszoltak neki, de csak öt vállalat foltozta be a biztonsági hibákat. Általában kétszer kellett írnia, mire egyáltalán választ kapott a jelzéseire, dDe volt, ahol csak a hatodik kísérletre reagáltak vagy egyáltalán nem válaszoltak. Egyes vállalatoknál még a kapcsolattartó címek kiderítése is komoly feladat volt. Jansen most csak iOS-szoftvereket vizsgált meg, de nagyon valószínűnek tűnik, hogy az Androidra készített alkalmazások esetében is hasonló a helyzet.