米哈尔·兹丹斯基 令人震惊的是,苹果已经让其用户,特别是所有使用 App Store 的用户,暴露在 App Store 与公司服务器之间未加密通信的潜在危险之下。直到现在,Apple 才开始使用 HTTPS,这是一种对设备和 App Store 之间的数据流进行加密的技术。
谷歌研究员 Elie Bursztein 周五报告了这个问题 博客。早在去年 7 月,他就在空闲时间发现了苹果公司的多个安全漏洞,并向公司报告了这些漏洞。 HTTPS 是一种已使用多年的安全标准,可在最终用户和 Web 服务器之间提供加密通信。它通常可以防止黑客拦截两个端点之间的通信并提取敏感数据,例如密码或信用卡号。同时,它检查最终用户是否没有与假服务器通信。安全网络标准已经被 Google、Facebook 或 Twitter 等应用了一段时间。
根据 Bursztein 的博客文章,App Store 的部分内容已经通过 HTTPS 进行了保护,但其他部分则未加密。他在多个视频中演示了攻击的可能性 YouTube例如,攻击者可以通过 App Store 中的欺骗性页面来欺骗用户安装虚假更新或通过欺诈性提示窗口输入密码。对于攻击者来说,在给定时刻与目标共享未受保护网络上的 Wi-Fi 连接就足够了。
通过开启HTTPS,苹果解决了许多安全漏洞,但这一步花了很多时间。即便如此,他还远远没有获胜。据公司保安称 Qualys公司 她认为苹果 HTTPS 的安全性仍然存在漏洞,并称其不够充分。不过,潜在攻击者不容易发现漏洞,因此用户不必过于担心。
多么体贴。现在他们终于可以踏上减速带了。几个月来速度一直慢得令人难以置信。