Apple odstranil aplikace schopné šmírovat v šifrované komunikaci

Firma uživatelům doporučila, aby si je odstranili z telefonů a tabletů. Bohužel ale Apple nechce uvést, o jaké aplikace šlo.

Možnost šmírovat v šifrované komunikaci byla důvodem odstranění několika aplikací z App Store. K datům se mohly dostat klasickým MITM „útokem“, tedy instalací root certifikátů, které umožňovaly přerušit cestu šifrovaných dat.

Jakkoliv zjevně nešlo o aplikace využívající tuto technologii proti uživatelům, jde o zásadně nebezpečné mechanismy. Používají je mimochodem běžně i antiviry, pokud jim povolíte kontrolovat obsah šifrované komunikace. A stejnou technologii si možná pamatujete z aféry okolo softwaru jménem Superfish (viz Lenovo instaluje na nové počítače nebezpečný adware a MITM nástroj).

Podle serveru iMore Apple odstranění aplikací komentoval jen velmi stručně:

We've removed a few apps from the App Store that install root certificates which enable the monitoring of customer network data that can in turn be used to compromise SSL/TLS security solutions. We are working closely with these developers to quickly get their apps back on the App Store, while ensuring customer privacy and security is not at risk.

Apple také doporučil uživatelům, aby si tyto aplikace a s nimi související data a nastavení (profily) smazali, o jaké aplikace konkrétně šlo, ale neuvedl. 

Velmi pravděpodobně ale šlo například o Been Choice – jednu z prvních aplikací, která měla umožnit blokovat reklamy i v aplikacích. Klasické blokování inzerátů v rámci iOS totiž funguje pouze v Safari.

Jakkoliv je Been Choice v zásadě legitimní aplikace bez škodlivých efektů, možnost instalace root certifikátů na vaše zařízení skrz aplikaci staženou z App Store je velkým bezpečnostním rizikem. Jakékoliv takové aplikaci, ale v zásadě i dalším, totiž umožňuje odposlouchávat to, co za normálních okolností odposlouchávat možné není.

Je dost pravděpodobné, že řada uživatelů iPhone/iPadů vůbec netuší, že něco jako root certifikáty (navíc tímto způsobem měnitelné) v zařízení má. A těžko bude vědět, že se jim do zařízení dostalo něco, co tam nemá co dělat. 

Zkontrolujte si své zařízení

Pokud si chcete ověřit vlastní zařízení, tak zkuste SettingGeneralProfile. Pokud nevidíte ani „Profile“, tak není potřeba nic řešit – pokud ano, tak je případně více než vhodné tam nalezené profily s případnými root certifikáty smazat. S výjimkou případů, kdy s jistotou víte, odkud se tam něco takového vzalo – což většinou může být třeba v podobě testovacích aplikací (v minulosti TestFlight) nebo při používání nějakého softwaru pro VPN.

Tvůrci Been Choice nakonec na Twitteru uvedli, že odstraní blokování reklam z Facebooku, Googlu, Yahoo i Pinterestu – což ale znamená, že minimálně pro tyto domény můžete mít v iPhonu/iPadu z minulosti certifikáty, které znamenají zásadní bezpečnostní nedostatek.

MIF16

Pokud v tuto chvíli ještě stále přemýšlíte, jak vlastně Been Choice dokázali odstranit reklamy z aplikací, odpověď je snadná: s použitím certifikátů a následného převedení komunikace skrz vlastní VPN (virtuální privátní síť) mohli komunikaci filtrovat dle vlastní potřeby a chuti. 

Ale je nutné dodat, že s ní také teoreticky mohli dělat cokoliv dalšího. Což je celé zásadní rozdíl oproti běžným blokátorům inzerce (Cystal, 1Blocker, Purify, atd), ty blokují reklamu pouze v prohlížeči a s využitím mechanismů, které jim k tomu dává iOS. 

2 názory Vstoupit do diskuse
poslední názor přidán 14. 10. 2015 18:50

Školení App Store optimalizace

  •  
    Jak dostat svou mobilní aplikaci mezi lidi
  • Jak na akvizici uživatelů mobilních aplikací na českém i světovém trhu
  • Jak správně spustit, propagovat, měřit a vyhodnotit svoji aplikaci v Google Play i v Apple App Store

Detailní informace o školení App Store optimalizace »