Hlavní navigace

Apple odstranil aplikace schopné šmírovat v šifrované komunikaci

Daniel Dočekal 12. 10. 2015

Firma uživatelům doporučila, aby si je odstranili z telefonů a tabletů. Bohužel ale Apple nechce uvést, o jaké aplikace šlo.

Možnost šmírovat v šifrované komunikaci byla důvodem odstranění několika aplikací z App Store. K datům se mohly dostat klasickým MITM „útokem“, tedy instalací root certifikátů, které umožňovaly přerušit cestu šifrovaných dat.

Jakkoliv zjevně nešlo o aplikace využívající tuto technologii proti uživatelům, jde o zásadně nebezpečné mechanismy. Používají je mimochodem běžně i antiviry, pokud jim povolíte kontrolovat obsah šifrované komunikace. A stejnou technologii si možná pamatujete z aféry okolo softwaru jménem Superfish (viz Lenovo instaluje na nové počítače nebezpečný adware a MITM nástroj).

Podle serveru iMore Apple odstranění aplikací komentoval jen velmi stručně:

We've removed a few apps from the App Store that install root certificates which enable the monitoring of customer network data that can in turn be used to compromise SSL/TLS security solutions. We are working closely with these developers to quickly get their apps back on the App Store, while ensuring customer privacy and security is not at risk.

Apple také doporučil uživatelům, aby si tyto aplikace a s nimi související data a nastavení (profily) smazali, o jaké aplikace konkrétně šlo, ale neuvedl. 

Velmi pravděpodobně ale šlo například o Been Choice – jednu z prvních aplikací, která měla umožnit blokovat reklamy i v aplikacích. Klasické blokování inzerátů v rámci iOS totiž funguje pouze v Safari.

Jakkoliv je Been Choice v zásadě legitimní aplikace bez škodlivých efektů, možnost instalace root certifikátů na vaše zařízení skrz aplikaci staženou z App Store je velkým bezpečnostním rizikem. Jakékoliv takové aplikaci, ale v zásadě i dalším, totiž umožňuje odposlouchávat to, co za normálních okolností odposlouchávat možné není.

Je dost pravděpodobné, že řada uživatelů iPhone/iPadů vůbec netuší, že něco jako root certifikáty (navíc tímto způsobem měnitelné) v zařízení má. A těžko bude vědět, že se jim do zařízení dostalo něco, co tam nemá co dělat. 

Zkontrolujte si své zařízení

Pokud si chcete ověřit vlastní zařízení, tak zkuste SettingGeneralProfile. Pokud nevidíte ani „Profile“, tak není potřeba nic řešit – pokud ano, tak je případně více než vhodné tam nalezené profily s případnými root certifikáty smazat. S výjimkou případů, kdy s jistotou víte, odkud se tam něco takového vzalo – což většinou může být třeba v podobě testovacích aplikací (v minulosti TestFlight) nebo při používání nějakého softwaru pro VPN.

Tvůrci Been Choice nakonec na Twitteru uvedli, že odstraní blokování reklam z Facebooku, Googlu, Yahoo i Pinterestu – což ale znamená, že minimálně pro tyto domény můžete mít v iPhonu/iPadu z minulosti certifikáty, které znamenají zásadní bezpečnostní nedostatek.

Pokud v tuto chvíli ještě stále přemýšlíte, jak vlastně Been Choice dokázali odstranit reklamy z aplikací, odpověď je snadná: s použitím certifikátů a následného převedení komunikace skrz vlastní VPN (virtuální privátní síť) mohli komunikaci filtrovat dle vlastní potřeby a chuti. 

Ale je nutné dodat, že s ní také teoreticky mohli dělat cokoliv dalšího. Což je celé zásadní rozdíl oproti běžným blokátorům inzerce (Cystal, 1Blocker, Purify, atd), ty blokují reklamu pouze v prohlížeči a s využitím mechanismů, které jim k tomu dává iOS. 

Našli jste v článku chybu?

14. 10. 2015 18:50

Qwe (neregistrovaný)

Mozna, nicmene to aspon resi..
Android je prolezlej skrz na skrz a o vybrakovanych uctech se psalo jen v souvislosti vzdy jenom s nim.
A to nic proti deravymu nebo vice nachylnemu systemu na blbost uzivatelu ; )



12. 10. 2015 16:33

Vilda (neregistrovaný)

To je husty! Tyhle certifikaty se drive instalovali free aplikacema aby jste dostali nejakou interni měnu!!! Je to tak 3 roky co jsem to videl. To Apple teda zareagoval brzo!
Opet se ukazuje ze zadarmo neni zadarmo :-).


Vitalia.cz: Jak koupit Mikuláše a nenaletět

Jak koupit Mikuláše a nenaletět

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií