Компания Apple наконец-то закрыла многочисленные уязвимости в App Store, включив защищённое соединение HTTPS для пользователей App Store. До сих пор, в течение как минимум девяти месяцев, учётные данные пользователей при авторизации в App Store передавались открытым текстом по HTTP.

Об уязвимостях в Apple сообщил специалист по безопасности Эли Бурштейн (Elie Bursztein) из компании Google ещё в июле 2012 года. Сейчас он выражает удивление, почему понадобилось так много времени для закрытия этих уязвимостей. В своём блоге специалист приводит список возможных атак, с подробным руководством по проведению каждой из них.

Эли Бурштейн записал несколько видеороликов для демонстрации.

Перехват пароля

Подмена приложения

Фальшивый апгрейд

К списку уязвимостей можно добавить ещё и утечку личных данных, потому что злоумышленник мог посмотреть список установленных приложений в системе, перехватив незащищённый трафик между жертвой и сервером обновлений App Store.

Оставить мнение