Apple: λήψεις από το iTunes χωρίς κρυπτογράφηση

Apple και : Η κρυπτογράφηση της κίνησης σε ολόκληρο τον ιστό είναι πια υποχρεωτική, ή σχεδόν υποχρεωτική, καθώς η Apple επιλέγει να μην κρυπτογραφεί τις λήψεις από το iTunes.

Συνήθως γνωρίζετε πότε μια σελίδα χρησιμοποιεί κρυπτογράφηση HTTPS από το μικρό πράσινο λουκέτο στην αριστερή πλευρά της γραμμής του URL. Αν δεν υπάρχει το μικρό λουκέτο κάτι συμβαίνει. Αυτό παρατήρησαν οι της Disconnect στο iTunes και το App Store της Apple.Apple

Κάθε φορά που κατεβάζετε μια εφαρμογή ή κάποια ενημέρωση από το App Store ή μια ταινία, μια τηλεοπτική εκπομπή ή ένα από το iTunes, η λήψη έρχεται μέσω HTTP χωρίς TLS.

Αυτό καθιστά τουλάχιστον θεωρητικά ευκολότερο για ένα πάροχο υπηρεσιών Διαδικτύου, για έναν hacker ή ακόμα και για κάποιον που βρίσκεται σε κοινό δίκτυο Wi-Fi για να παρακολουθήσει τις κινήσεις σας.

Να αναφέρουμε ότι κάθε μη κρυπτογραφημένη λήψη συμπεριλαμβάνει επίσης και ένα κωδικό που δημιουργείται από την Apple. Ονομάζεται αναγνωριστικός κωδικός προορισμού από το Destination Signaling Identifier, και πρόκειται για ένα μοναδικό αναγνωριστικό συσκευής που παράγεται από το iCloud και αλλάζει περιοδικά.
Οι ερευνητές της Disconnect αναφέρουν ότι οι επιτιθέμενοι θα μπορούσαν να χρησιμοποιήσουν τα DSID για να παρακολουθήσουν τις συνήθειες κάποιου ή τις εφαρμογές που χρησιμοποιεί.

“Υπάρχουν τόσα πολλά που μπορείτε να μάθετε για κάποιον από τη λήψη μιας εφαρμογής” αναφέρει ο Patrick Jackson, CTO της Disconnect, και πρώην ερευνητής της NSA.

Οι ερευνητές της Disconnect ανέφεραν το σφάλμα στην Apple τον Σεπτέμβριο, υπογραμμίζοντας τις ανησυχίες τους. Η Apple απάντησε ότι δεν πρόκειται σφάλμα και ότι οι λήψεις μέσω HTTP είναι “αναμενόμενες”. Η απάντηση ουσιαστικά επιβεβαιώνει ότι οι λήψεις δεν είναι κρυπτογραφημένες, και σύμφωνα με τους ερευνητές η εταιρεία αρνήθηκε να σχολιάσει περαιτέρω τη χρήση του HTTP στις λήψεις.

Αν και προκαλεί έκπληξη το γεγονός ότι μια εταιρεία, που ισχυρίζεται ότι είναι υπέρ του ιδιωτικού απορρήτου δεν χρησιμοποιεί ασφαλείς συνδέσεις, ο ερευνητής του iOS Will Strafach αναφέρει ότι πιστεύει ότι η μη χρήση του TLS εξυπηρετεί ένα συγκεκριμένο σκοπό.

Με την αποστολή των λήψεων μέσω του HTTP αντί μέσω κρυπτογραφημένων συνδέσεων, οι διαχειριστές συστημάτων, ειδικά σε μεγάλα επιχειρηματικά περιβάλλοντα, μπορούν να δημιουργήσουν ένα είδος σταθμού με προσωρινή αποθήκευση μεγάλων εφαρμογών και αρχείων στο τοπικό τους δίκτυο για ταχύτερη διανομή. Αυτό σημαίνει ότι δεν θα καταναλώνουν εύρος ζώνης αν μια εφαρμογή, μια ενημερωμένη ή κάποιο άλλο αρχείο κατεβαίνει ξανά και ξανά σε πολλές . Εάν οι συνδέσεις ήταν κρυπτογραφημένες μεταξύ των διακομιστών της Apple και των συσκευών, η δημιουργία ενός ενδιάμεσου σταθμού που προσφέρει προσωρινή αποθήκευση δεν θα ήταν δυνατή.

Παρόλα αυτά η συγκεκριμένη συμπεριφορά της Apple δεν είναι ασφαλής. Να αναφέρουμε ότι αν ισχύει ο παραπάνω λόγος για τον οποίο η εταιρεία δεν προσθέτει κρυπτογράφηση στις λήψεις, οι φίλοι της εταιρείας θα πρέπει να σκεφτούν ξανά που δίνουν τα χρήματά τους. Να υπενθυμίσουμε ότι μιλάμε για μια από τις πιο πλούσιες τεχνολογικές εταιρείες.

________________________

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















giorgos

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).