App开发人员还没有为IOS运输安全要求做好准备
一个月前,苹果公司预计将对IOS中的应用程序通信进行更严格的安全要求,企业开发人员似乎可以随时接受它们,这是一个新的研究表明。
该研究是通过安全公司附加的,在企业环境中安装在IOS设备上的最常见的200个应用程序上进行。研究人员研究了这些应用程序符合苹果公司的应用程序运输安全性(ATS)要求的程度。
首次介绍ATS并在IOS 9中默认启用。它强制使用加密的HTTPS(HTTP OVER SSL / TLS)连接与Internet服务器通信的所有应用程序,并确保仅使用没有已知缺陷的行业标准加密协议和密码。例如,不允许使用SSL版本3,并且由于已知的漏洞,RC4流密码也不是。
在ATS之前,App开发人员使用第三方框架实现了HTTPS,但正常配置SSL / TLS是难以实现的,因此实现错误很常见。这些削弱了议定书应该提供对抗交通窥探和其他中间人攻击的保护。
目前,iOS为应用程序提供了一种方法,以完全选择退出ATS或仅用于特定连接,但Apple希望更改该应用程序。该公司在全球开发人员会议上,该公司宣布,它将要求在App Store上发布的所有应用程序于今年年底开启ATS。
要求在OS级别执行的要求,但通过App Store审查流程。仍然可以使用一些ATS异常,但如果希望他们的应用程序批准,开发人员将不得不为使用它们提供“合理的理由”。
在他们的学习期间,该应用程序的研究人员发现,97%的分析应用程序 - 193中的200个二手异常和其他设置削弱了默认的ATS配置。
“在我们分析的200个IOS应用中,通过将”NSAllowsArbitrarylabls“属性在其Info.plist文件中设置”nsallowsarbitrarylabls“属性来绕过至少一些ATS要求,”Appthority研究人员在其报告中表示。“但是,并非所有这些都绕过所有网络连接的需求。例如,公司仍然可以支持与其域的网络连接的ATS要求,同时允许绕过所有其他连接。“
在没有使用HTTPS的应用程序中,他们的所有连接都是Facebook,Twitter,LinkedIn,Facebook Messenger,Skype,Viber,Whatsapp,Fox新闻,CNN,BBC,Netflix,ESPN,Hulu,Pandora,亚马逊云播放器,Word,Excel,PowerPoint和OneNote,但也包括像手电筒,QR码阅读器和游戏等实用程序。
虽然有人认为某些连接不需要HTTPS,因为它们是因为它们常常用于传输敏感数据,但是该应用程序发现10个应用程序,该应用程序确实发送设备ID,电子邮件地址,物理地址,邮政编码,地理位置信息甚至密码。或通过未加密的HTTP链接的秘密密钥。
开发人员可以在App Repose过程中可能会要求ATS异常,有很多原因。例如,许多应用程序不仅仅是他们的开发人员的服务器,而且还向第三方广告,市场研究,分析和图像或视频托管服务交谈。在这些外部服务上使用HTTPS超出了应用程序开发人员“控制。
ATS提供了像“NSAllowsArbitraryLainSinmedia”这样的细粒度异常,例如,可以用于允许在HTTP上允许视频或音频内容,同时加密所有其他连接。
然而,根据附加分析,似乎到目前为止,开发人员可以使用更通用的“nsallowsArbitraryLaens”,这些产品在处理此类问题时禁用所有连接的ATS。
该公司没有找到使用“nsallowsarbitraryloadsinmedia”或“nsallowsarbitraryloadsinweboncontent”属性的应用程序来限制ATS异常的范围。它希望苹果公司的新要求将改变。
许多确实使用ATS的应用程序禁用其某些安全功能。例如,Appority使用证书透明度的应用程序分析的应用程序都不是ATS。
此外,其中七个禁用SSL证书验证,46个没有使用证书固定。三十八个应用程序已禁用前向保密和八个应用程序将允许的TLS协议版本设置为1.0或1.1,即使ATS中的安全默认值为TLS 1.2。
“即使在1月1日之后,我们仍然希望在企业环境中具有未加密数据的iOS应用程序,”Appority研究人员表示。“当Apple批准App Store这样的应用程序时,仍然存在与某些连接的未加密数据相关的安全风险,因此企业对具有这些例外相关的风险的知识和管理风险非常重要。”