Защитная функция ATS (App Transport Security) была представлена еще в 2015 году. ATS «вышла в свет» с релизом iOS 9 и должна блокировать все небезопасные HTTP-соединения между приложением и его удаленным сервером. Изначально компания Apple собиралась сделать ее применение обязательным для всех iOS-приложений (начиная с января 2017 года), однако за несколько недель до вступления решения в силу, в конце 2016 года, компания отказалась от этого плана, а использование ATS так и осталось необязательным.
Как показало исследование компании Wandera, теперь, три года спустя, ATS по-прежнему не пользуется популярностью у разработчиков.
Аналитики изучили 30 000 приложений для iOS и установили, что 67,8% их них отключают ATS полностью. Лишь 27% приложений применяют ATS для постоянного обеспечения зашифрованной связи и блокировки незашифрованных HTTP-соединений. Еще около 5,3% приложений используют ATS частично, отключая функцию для определенных доменов. Впрочем, эксперты отмечают, что отключение ATS совсем необязательно означает, что приложения не используют HTTPS вовсе.
По мнению исследователей, такая нелюбовь разработчиков к ATS объясняется весьма просто: рекламные платформы и сети очень часто рекомендуют в документации отключать ATS внутри приложений, чтобы iOS не блокировала связь с рекламными серверами в случае возникновения ошибок.
Так, по статистике, ATS чаще используется в платных приложениях, которые не так сильно зависят от доходов от рекламы, и у разработчиков нет нужды отключать защиту ради собственной выгоды.