Apple και iTunes: Η κρυπτογράφηση της κίνησης σε ολόκληρο τον ιστό είναι πια υποχρεωτική, ή σχεδόν υποχρεωτική, καθώς η Apple επιλέγει να μην κρυπτογραφεί τις λήψεις από το iTunes.
Συνήθως γνωρίζετε πότε μια σελίδα χρησιμοποιεί κρυπτογράφηση HTTPS από το μικρό πράσινο λουκέτο στην αριστερή πλευρά της γραμμής του URL. Αν δεν υπάρχει το μικρό λουκέτο κάτι συμβαίνει. Αυτό παρατήρησαν οι ερευνητές της Disconnect στο iTunes και το App Store της Apple.
Κάθε φορά που κατεβάζετε μια εφαρμογή ή κάποια ενημέρωση από το App Store ή μια ταινία, μια τηλεοπτική εκπομπή ή ένα τραγούδι από το iTunes, η λήψη έρχεται μέσω HTTP χωρίς TLS.
Αυτό καθιστά τουλάχιστον θεωρητικά ευκολότερο για ένα πάροχο υπηρεσιών Διαδικτύου, για έναν hacker ή ακόμα και για κάποιον που βρίσκεται σε κοινό δίκτυο Wi-Fi για να παρακολουθήσει τις κινήσεις σας.
Να αναφέρουμε ότι κάθε μη κρυπτογραφημένη λήψη συμπεριλαμβάνει επίσης και ένα κωδικό που δημιουργείται από την Apple. Ονομάζεται αναγνωριστικός κωδικός προορισμού από το Destination Signaling Identifier, και πρόκειται για ένα μοναδικό αναγνωριστικό συσκευής που παράγεται από το iCloud και αλλάζει περιοδικά.
Οι ερευνητές της Disconnect αναφέρουν ότι οι επιτιθέμενοι θα μπορούσαν να χρησιμοποιήσουν τα DSID για να παρακολουθήσουν τις συνήθειες κάποιου ή τις εφαρμογές που χρησιμοποιεί.
“Υπάρχουν τόσα πολλά που μπορείτε να μάθετε για κάποιον από τη λήψη μιας εφαρμογής” αναφέρει ο Patrick Jackson, CTO της Disconnect, και πρώην ερευνητής της NSA.
Οι ερευνητές της Disconnect ανέφεραν το σφάλμα στην Apple τον Σεπτέμβριο, υπογραμμίζοντας τις ανησυχίες τους. Η Apple απάντησε ότι δεν πρόκειται σφάλμα και ότι οι λήψεις μέσω HTTP είναι “αναμενόμενες”. Η απάντηση ουσιαστικά επιβεβαιώνει ότι οι λήψεις δεν είναι κρυπτογραφημένες, και σύμφωνα με τους ερευνητές η εταιρεία αρνήθηκε να σχολιάσει περαιτέρω τη χρήση του HTTP στις λήψεις.
Αν και προκαλεί έκπληξη το γεγονός ότι μια εταιρεία, που ισχυρίζεται ότι είναι υπέρ του ιδιωτικού απορρήτου δεν χρησιμοποιεί ασφαλείς συνδέσεις, ο ερευνητής του iOS Will Strafach αναφέρει ότι πιστεύει ότι η μη χρήση του TLS εξυπηρετεί ένα συγκεκριμένο σκοπό.
Με την αποστολή των λήψεων μέσω του HTTP αντί μέσω κρυπτογραφημένων συνδέσεων, οι διαχειριστές συστημάτων, ειδικά σε μεγάλα επιχειρηματικά περιβάλλοντα, μπορούν να δημιουργήσουν ένα είδος σταθμού με προσωρινή αποθήκευση μεγάλων εφαρμογών και αρχείων στο τοπικό τους δίκτυο για ταχύτερη διανομή. Αυτό σημαίνει ότι δεν θα καταναλώνουν εύρος ζώνης αν μια εφαρμογή, μια ενημερωμένη έκδοση ή κάποιο άλλο αρχείο κατεβαίνει ξανά και ξανά σε πολλές συσκευές. Εάν οι συνδέσεις ήταν κρυπτογραφημένες μεταξύ των διακομιστών της Apple και των συσκευών, η δημιουργία ενός ενδιάμεσου σταθμού που προσφέρει προσωρινή αποθήκευση δεν θα ήταν δυνατή.
Παρόλα αυτά η συγκεκριμένη συμπεριφορά της Apple δεν είναι ασφαλής. Να αναφέρουμε ότι αν ισχύει ο παραπάνω λόγος για τον οποίο η εταιρεία δεν προσθέτει κρυπτογράφηση στις λήψεις, οι φίλοι της εταιρείας θα πρέπει να σκεφτούν ξανά που δίνουν τα χρήματά τους. Να υπενθυμίσουμε ότι μιλάμε για μια από τις πιο πλούσιες τεχνολογικές εταιρείες.
________________________
- TDSSKiller δωρεάν αφαίρεση Rootkit από την Kaspersky
- Microsoft, Αpple, Google, Facebook, Amazon και η αιχμαλωσία
- Bugatti Chiron από Lego, λειτουργεί κανονικά!