App Store полгода был открыт для MIM-атак

Компания Apple обновила документ Apple Web Server notifications, где, помимо прочего, высказывает благодарность Бернарду Брему (Bernhard Brehm) из Recurity Labs, Эли Бурштейну (Elie Bursztein) из Google и Раулю Ияру (Rahul Iyer) из Bejoi LLC за обнаружение проблем, связанных с доменом itunes.apple.com.

Как выяснили эти эксперты, на протяжении как минимум 6 месяцев Apple App Store функционировал без SSL-шифрования, подвергая своих пользователей риску кражи паролей, утечек персональных данных и манипулирования приложениями. В то время, когда HTTPS не использовался, хакеры могли проводить разного рода атаки на пользователей, подключенных к открытым сетям, например в аэропортах или кафе.

Эксперты продемонстрировали несколько возможных MIM-атак (man-in-the-middle), выполняемой путем прерывания нешифрованного трафика и модификации отклика Apple. В одном из примеров запрос App Store на наличие обновлений с сервера iTunes прерывался, и в него помещался код всплывающего окна, запрашивающего у пользователя пароль. С точки зрения обычного пользователя ничего нелегального в таком запросе нет — просто App Store перед открытием просит пользователя авторизоваться. Еще одна атака подобного рода выполняет подмену данных, передаваемых на серверы Apple при попытке пользователя установить приложение — фактически оно не загружается, хотя пользователь абсолютно уверен, что установка произошла. Аналогичным мошенническим способом можно вынуждать пользователей загружать из магазина приложений дорогие программы.

Как сообщает Apple в обновленном отчете, проблема устранена в начале 2013 г. и теперь весь активный контент по умолчанию передается с использованием протокола HTTPS.