Apple versleutelt eindelijk verkeer naar App Store
Veel data tussen de App Store-app op iOS en Apple's servers was tot voor kort niet versleuteld, wat accountkaping mogelijk maakte. Een Google-onderzoeker tipte Apple.
Veel verkeer tussen iPhone en iPad en de iTunes-servers van Apple is lang onversteuteld geweest, waardoor kwaadwillenden op een open wifi-netwerk verkeer konden onderscheppen en manipuleren. Het gaat om dynamische data in de App Store-app op iPhone en iPad. Dat is weliswaar een native app maar de meeste dynamische content komt van Apple's servers, over http, ontdekte Google-onderzoeker Elie Bursztein.
'Firesheep' voor App Store
Dat geldt bijvoorbeeld voor de overzichtspagina van apps of updatemeldingen. Dit http-verkeer is te onderscheppen op open wifi-netwerken, bijvoorbeeld in een café, vergelijkbaar met de beruchte Firesheep-plugin die Facebook-en Twitter-accounts kaapte. Met enige creativiteit wist ook Bursztein inloggegevens te achterhalen, door een vals inlogvenster te 'injecteren'. Daarnaast konden apps worden geïnstalleerd die eruit zien als (updates van) andere apps. Zo kan een slachtoffer op kosten worden gejaagd door stiekem een betaalde app te installeren.
Bursztein meldde vorig jaar juli aan Apple dat misbruik eenvoudig is. Na een half jaar wordt nu sinds kort eindelijk al het verkeer tussen App Store-app en servers versleuteld met https, blijkt uit een melding op de site van Apple.
Demo: wachtwoord onderscheppen
Demo: app verwisseling