App开发人员还没有为IOS运输安全要求做好准备
超融合和容器在2018年关键存储相关部署
Netsuite在Oracle的旗帜下进行了全球
欧洲城市宇宙英语IT天赋
NHS组织可以获得网络安全警报服务
我们乘坐了本田的自我平衡的Uni-Cub
切线:GM测试EVS,自驾车的无线汽车充电器
莫斯科将市政车辆在网上放进燃料
Gartner说,SmartWatch用户辍学率仍然是29%
我们可以信任英特尔内部均衡计算吗?
12件事您将使用英特尔新的Kaby Lake Chips进入PC
商业网络犯罪63%,英国统计显示
监视监视看门狗调查GCHQ IT承包商的安全风险
首都乘坐云到科技公司的转型
需要机器人来管理自动化机器人
除了Brexit之外:超高划分器是否未来证明英国扑发市场的增长?
雅虎成为阿尔塔巴,在Verizon收购后丢失Mayer
ICO Head Tops DataiQ数据领袖列表
看到今年的五大低估的Microsoft公告
谷歌时代歧视审判日期是两年的距离
德国离线100万宽带客户; “外部影响”指责
在NHS的示例数据集键到成功的AI
Openai发布Universe,一个培训A.I.S播放游戏的平台,使用应用程序
英特尔的焦耳550x电脑船,但初始单位价格过高
挪威的Statkraft Undsources IT基础架构管理
勒索沃特兵 - 战斗联盟添加成员和解密工具
英国经济最不可能通过ai种植
这是2017年,改变别人的航班预订是非常容易的
政府监督制度非法,汤姆沃特森案中的法院规则
Windows 10在多月份摊位后的用户共享增益
Infosys在芬兰开设交付和创新中心
先进的亚洲国家良好的行业4.0
Nesta Challenge利用开放银行来帮助小企业
沃达丰推出康沃尔郡4克迷你桅杆
开源硬件制造商联合起来开始认证产品
McAfee报告显示,八季度2017年第四季度八季度新网络威胁
黄貂鱼使用可能是违宪的,找到房屋报告
视频游戏程序员如何创建一个流行的VR外科模拟器
戴尔EMC在APAC的IOT收入超过1亿美元
在雅虎突破之后你应该做的5件事
FSB调查显示,大多数英国小公司仍未为GDPR准备
在国际DDos-for-hire镇压中被逮捕了数十岁
新纪录!雅虎被攻击 - 10亿用户账户妥协
希捷与DJI合作,为无人机创造新的存储类型
Apple的利润坍塌意味着Tim Cook的付费剪裁
政府为物联网设备规定了更严格的安全措施
NVIDIA旨在通过教育九年学生来解决英国的AI技能差距
将a.i.迎来了一个新的黑客时代?
几乎四分之一的伦敦企业不知道GDPR
企业开始将关键的遗留工作负载迁移到云端
您的位置:首页 >论坛 > 电子商务 >

App开发人员还没有为IOS运输安全要求做好准备

2021-07-30 09:44:23 [来源]:

一个月前,苹果公司预计将对IOS中的应用程序通信进行更严格的安全要求,企业开发人员似乎可以随时接受它们,这是一个新的研究表明。

该研究是通过安全公司附加的,在企业环境中安装在IOS设备上的最常见的200个应用程序上进行。研究人员研究了这些应用程序符合苹果公司的应用程序运输安全性(ATS)要求的程度。

首次介绍ATS并在IOS 9中默认启用。它强制使用加密的HTTPS(HTTP OVER SSL / TLS)连接与Internet服务器通信的所有应用程序,并确保仅使用没有已知缺陷的行业标准加密协议和密码。例如,不允许使用SSL版本3,并且由于已知的漏洞,RC4流密码也不是。

在ATS之前,App开发人员使用第三方框架实现了HTTPS,但正常配置SSL / TLS是难以实现的,因此实现错误很常见。这些削弱了议定书应该提供对抗交通窥探和其他中间人攻击的保护。

目前,iOS为应用程序提供了一种方法,以完全选择退出ATS或仅用于特定连接,但Apple希望更改该应用程序。该公司在全球开发人员会议上,该公司宣布,它将要求在App Store上发布的所有应用程序于今年年底开启ATS。

要求在OS级别执行的要求,但通过App Store审查流程。仍然可以使用一些ATS异常,但如果希望他们的应用程序批准,开发人员将不得不为使用它们提供“合理的理由”。

在他们的学习期间,该应用程序的研究人员发现,97%的分析应用程序 - 193中的200个二手异常和其他设置削弱了默认的ATS配置。

“在我们分析的200个IOS应用中,通过将”NSAllowsArbitrarylabls“属性在其Info.plist文件中设置”nsallowsarbitrarylabls“属性来绕过至少一些ATS要求,”Appthority研究人员在其报告中表示。“但是,并非所有这些都绕过所有网络连接的需求。例如,公司仍然可以支持与其域的网络连接的ATS要求,同时允许绕过所有其他连接。“

在没有使用HTTPS的应用程序中,他们的所有连接都是Facebook,Twitter,LinkedIn,Facebook Messenger,Skype,Viber,Whatsapp,Fox新闻,CNN,BBC,Netflix,ESPN,Hulu,Pandora,亚马逊云播放器,Word,Excel,PowerPoint和OneNote,但也包括像手电筒,QR码阅读器和游戏等实用程序。

虽然有人认为某些连接不需要HTTPS,因为它们是因为它们常常用于传输敏感数据,但是该应用程序发现10个应用程序,该应用程序确实发送设备ID,电子邮件地址,物理地址,邮政编码,地理位置信息甚至密码。或通过未加密的HTTP链接的秘密密钥。

开发人员可以在App Repose过程中可能会要求ATS异常,有很多原因。例如,许多应用程序不仅仅是他们的开发人员的服务器,而且还向第三方广告,市场研究,分析和图像或视频托管服务交谈。在这些外部服务上使用HTTPS超出了应用程序开发人员“控制。

ATS提供了像“NSAllowsArbitraryLainSinmedia”这样的细粒度异常,例如,可以用于允许在HTTP上允许视频或音频内容,同时加密所有其他连接。

然而,根据附加分析,似乎到目前为止,开发人员可以使用更通用的“nsallowsArbitraryLaens”,这些产品在处理此类问题时禁用所有连接的ATS。

该公司没有找到使用“nsallowsarbitraryloadsinmedia”或“nsallowsarbitraryloadsinweboncontent”属性的应用程序来限制ATS异常的范围。它希望苹果公司的新要求将改变。

许多确实使用ATS的应用程序禁用其某些安全功能。例如,Appority使用证书透明度的应用程序分析的应用程序都不是ATS。

此外,其中七个禁用SSL证书验证,46个没有使用证书固定。三十八个应用程序已禁用前向保密和八个应用程序将允许的TLS协议版本设置为1.0或1.1,即使ATS中的安全默认值为TLS 1.2。

“即使在1月1日之后,我们仍然希望在企业环境中具有未加密数据的iOS应用程序,”Appority研究人员表示。“当Apple批准App Store这样的应用程序时,仍然存在与某些连接的未加密数据相关的安全风险,因此企业对具有这些例外相关的风险的知识和管理风险非常重要。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。