米哈爾·茲丹斯基 令人震驚的是,蘋果已經讓其用戶,特別是所有使用 App Store 的用戶,暴露在 App Store 與公司伺服器之間未加密通訊的潛在危險之下。直到現在,Apple 才開始使用 HTTPS,這是一種對裝置和 App Store 之間的資料流進行加密的技術。
谷歌研究員 Elie Bursztein 週五報告了這個問題 博客。早在去年 7 月,他就在空閒時間發現了蘋果的多個安全漏洞,並向公司報告了這些漏洞。 HTTPS 是一種已使用多年的安全標準,可在最終用戶和 Web 伺服器之間提供加密通訊。它通常可以防止駭客攔截兩個端點之間的通訊並提取敏感數據,例如密碼或信用卡號。同時,它檢查最終用戶是否沒有與假伺服器通訊。安全網路標準已經被 Google、Facebook 或 Twitter 等應用了一段時間。
根據 Bursztein 的部落格文章,App Store 的部分內容已經透過 HTTPS 進行了保護,但其他部分則未加密。他在多個視頻中演示了攻擊的可能性 YouTube例如,攻擊者可以透過 App Store 中的欺騙性頁面來欺騙使用者安裝虛假更新或透過詐欺性提示視窗輸入密碼。對於攻擊者來說,在給定時刻與目標共享未受保護網路上的 Wi-Fi 連線就足夠了。
透過開啟HTTPS,蘋果解決了許多安全漏洞,但這一步花了很多時間。即便如此,他還遠遠沒有獲勝。據公司保全稱 質量 她認為蘋果 HTTPS 的安全性仍然存在漏洞,並稱其不夠充分。不過,潛在攻擊者不容易發現漏洞,因此用戶不必過度擔心。
多麼體貼。現在他們終於可以踏上減速帶了。幾個月來速度一直慢得令人難以置信。