Beberapa karya besar oleh peneliti Google Dr Elie Bursztein telah menyebabkan peningkatan keamanan Apple pada iOS App Store-nya. Juli lalu, Elie melaporkan sejumlah kerentanan di App Store Apple. Pada Januari, mereka telah diperbaiki. Tampaknya bahwa area tertentu dari App Store tidak menggunakan HTTPS, dan sebagai hasilnya, adalah mungkin bagi penyerang untuk mengeksekusi sejumlah eksploitasi yang berbeda pada pengguna.
HTTPS adalah protokol yang digunakan secara luas untuk mengamankan lalu lintas web. Dengan menggunakan HTTPS, perusahaan mempekerjakan lapisan tambahan keamanan untuk lalu lintas web pengguna mereka '. Ketika benar diterapkan, HTTPS membantu memastikan bahwa ketika pengguna berkomunikasi dengan server, bahwa server memang yang mereka katakan mereka (dan bukan pihak ketiga berbahaya) dan bahwa isi percakapan mereka tetap pribadi dan tidak dimodifikasi.
HTTPS adalah protokol yang digunakan secara luas untuk mengamankan lalu lintas web. Dengan menggunakan HTTPS, perusahaan mempekerjakan lapisan tambahan keamanan untuk lalu lintas web pengguna mereka '. Ketika benar diterapkan, HTTPS membantu memastikan bahwa ketika pengguna berkomunikasi dengan server, bahwa server memang yang mereka katakan mereka (dan bukan pihak ketiga berbahaya) dan bahwa isi percakapan mereka tetap pribadi dan tidak dimodifikasi.
Tanpa HTTPS, tidak hanya itu mungkin bagi pihak ketiga untuk melihat lalu lintas Anda, tetapi juga mungkin bagi pihak ketiga untuk memodifikasi lalu lintas yang Anda mengirim dan menerima tanpa sepengetahuan Anda.
Dalam kasus eksploitasi Elie, hal itu menunjukkan bahwa karena kurangnya HTTPS di daerah tertentu dari App Store, itu mungkin bagi pihak ketiga untuk melakukan sejumlah serangan: password App mencuri Store, menginstal sebuah aplikasi selain salah satu pengguna yang meminta, menginstal upgrade palsu, mencegah pengguna dari menginstal aplikasi tertentu, dan bahkan mendapatkan daftar semua aplikasi pengguna telah diinstal pada perangkat mereka.
Dalam kasus eksploitasi Elie, hal itu menunjukkan bahwa karena kurangnya HTTPS di daerah tertentu dari App Store, itu mungkin bagi pihak ketiga untuk melakukan sejumlah serangan: password App mencuri Store, menginstal sebuah aplikasi selain salah satu pengguna yang meminta, menginstal upgrade palsu, mencegah pengguna dari menginstal aplikasi tertentu, dan bahkan mendapatkan daftar semua aplikasi pengguna telah diinstal pada perangkat mereka.
Hal ini dilakukan dengan skrip yang Elie menulis untuk mencegat permintaan HTTP dan mengubah tanggapan dikirim kembali ke perangkat nya. Sementara iPhone mungkin meminta sebuah aplikasi seperti Angry Birds, respon dapat dimodifikasi untuk melayani bukannya perangkat Racing Real
Ini bukan pertama kalinya kami telah melihat perusahaan lupa untuk mengamankan semua URL sensitif mereka dengan SSL dan tentu saja tidak akan menjadi yang terakhir. Untungnya ada tampaknya tidak akan ada laporan dari kerentanan dieksploitasi di alam liar (meskipun itu tidak berarti tidak ada serangan terjadi dan hanya pergi tanpa diketahui) sebelum memperbaiki Apple.
Ini bukan pertama kalinya kami telah melihat perusahaan lupa untuk mengamankan semua URL sensitif mereka dengan SSL dan tentu saja tidak akan menjadi yang terakhir. Untungnya ada tampaknya tidak akan ada laporan dari kerentanan dieksploitasi di alam liar (meskipun itu tidak berarti tidak ada serangan terjadi dan hanya pergi tanpa diketahui) sebelum memperbaiki Apple.
Ini juga penting untuk dicatat bahwa serangan tersebut akan diperlukan pengguna berada di jaringan tidak terenkripsi dengan penyerang, ini bukanlah sesuatu yang akan dilakukan ketika terhubung ke jaringan wifi terenkripsi di rumah Anda, atau saat menggunakan paket data Anda dengan Anda sel penyedia.
Pengingat lain bagi pengguna untuk tetap waspada dalam praktek keamanan yang baik, dan tidak menghubungkan perangkat mereka ke jaringan diketahui atau tanpa jaminan.
Pengingat lain bagi pengguna untuk tetap waspada dalam praktek keamanan yang baik, dan tidak menghubungkan perangkat mereka ke jaringan diketahui atau tanpa jaminan.
0komentar:
Post a Comment