App开发人员还没有为IOS运输安全要求做好准备

一个月前，苹果公司预计将对IOS中的应用程序通信进行更严格的安全要求，企业开发人员似乎可以随时接受它们，这是一个新的研究表明。

该研究是通过安全公司附加的，在企业环境中安装在IOS设备上的最常见的200个应用程序上进行。研究人员研究了这些应用程序符合苹果公司的应用程序运输安全性（ATS）要求的程度。

首次介绍ATS并在IOS 9中默认启用。它强制使用加密的HTTPS（HTTP OVER SSL / TLS）连接与Internet服务器通信的所有应用程序，并确保仅使用没有已知缺陷的行业标准加密协议和密码。例如，不允许使用SSL版本3，并且由于已知的漏洞，RC4流密码也不是。

在ATS之前，App开发人员使用第三方框架实现了HTTPS，但正常配置SSL / TLS是难以实现的，因此实现错误很常见。这些削弱了议定书应该提供对抗交通窥探和其他中间人攻击的保护。

目前，iOS为应用程序提供了一种方法，以完全选择退出ATS或仅用于特定连接，但Apple希望更改该应用程序。该公司在全球开发人员会议上，该公司宣布，它将要求在App Store上发布的所有应用程序于今年年底开启ATS。

要求在OS级别执行的要求，但通过App Store审查流程。仍然可以使用一些ATS异常，但如果希望他们的应用程序批准，开发人员将不得不为使用它们提供“合理的理由”。

在他们的学习期间，该应用程序的研究人员发现，97％的分析应用程序 - 193中的200个二手异常和其他设置削弱了默认的ATS配置。

“在我们分析的200个IOS应用中，通过将”NSAllowsArbitrarylabls“属性在其Info.plist文件中设置”nsallowsarbitrarylabls“属性来绕过至少一些ATS要求，”Appthority研究人员在其报告中表示。“但是，并非所有这些都绕过所有网络连接的需求。例如，公司仍然可以支持与其域的网络连接的ATS要求，同时允许绕过所有其他连接。“

在没有使用HTTPS的应用程序中，他们的所有连接都是Facebook，Twitter，LinkedIn，Facebook Messenger，Skype，Viber，Whatsapp，Fox新闻，CNN，BBC，Netflix，ESPN，Hulu，Pandora，亚马逊云播放器，Word，Excel，PowerPoint和OneNote，但也包括像手电筒，QR码阅读器和游戏等实用程序。

虽然有人认为某些连接不需要HTTPS，因为它们是因为它们常常用于传输敏感数据，但是该应用程序发现10个应用程序，该应用程序确实发送设备ID，电子邮件地址，物理地址，邮政编码，地理位置信息甚至密码。或通过未加密的HTTP链接的秘密密钥。

开发人员可以在App Repose过程中可能会要求ATS异常，有很多原因。例如，许多应用程序不仅仅是他们的开发人员的服务器，而且还向第三方广告，市场研究，分析和图像或视频托管服务交谈。在这些外部服务上使用HTTPS超出了应用程序开发人员“控制。

ATS提供了像“NSAllowsArbitraryLainSinmedia”这样的细粒度异常，例如，可以用于允许在HTTP上允许视频或音频内容，同时加密所有其他连接。

然而，根据附加分析，似乎到目前为止，开发人员可以使用更通用的“nsallowsArbitraryLaens”，这些产品在处理此类问题时禁用所有连接的ATS。

该公司没有找到使用“nsallowsarbitraryloadsinmedia”或“nsallowsarbitraryloadsinweboncontent”属性的应用程序来限制ATS异常的范围。它希望苹果公司的新要求将改变。

许多确实使用ATS的应用程序禁用其某些安全功能。例如，Appority使用证书透明度的应用程序分析的应用程序都不是ATS。

此外，其中七个禁用SSL证书验证，46个没有使用证书固定。三十八个应用程序已禁用前向保密和八个应用程序将允许的TLS协议版本设置为1.0或1.1，即使ATS中的安全默认值为TLS 1.2。

“即使在1月1日之后，我们仍然希望在企业环境中具有未加密数据的iOS应用程序，”Appority研究人员表示。“当Apple批准App Store这样的应用程序时，仍然存在与某些连接的未加密数据相关的安全风险，因此企业对具有这些例外相关的风险的知识和管理风险非常重要。”