App开发人员还没有准备好更严格的IOS安全要求
Twitter密码安全错误强调行业变更需要
SAP Q1 2018:云收入休息1亿欧元,400多S / 4客户
编码员对人工智能对社会的影响负责
TSB IT融化具有史诗的含量
维珍银河的vvs团结在准备将游客带到太空中的首次滑行飞行
微软报告了LinkedIn优惠不会数量
突破挑战者银行项目后,RBS关闭分支机构
IFS 18亚特兰大:CEO ROOS主张客户焦点升级ERP套件
企业网络威胁修复无效,研究表明
报告称,医疗保健服务将在2030年到2030年围绕物联网建造
嘿Alexa,你的竞争对手在做什么?
技术人才宪章旨在解决伦敦以外的多样性
三星用64位芯片赋予齿轮S3 SmartWatch
GDPR是在商业中驾驶其他变革策略的关键
第一眼:IBM的Watson Analytics来到iPad
塔尔斯在亚洲开设“数字工厂”
Arago教授A.I.玩游戏,更好地管理IT系统
巴克莱旨在通过法律孵化器推动企业家启动开发
加拿大宽带专业知识速度Gigaclear纤维挖
三星升级笔记本电脑9笔记本电脑与kaby湖芯片
eu批准Microsoft授予优惠后的LinkedIn交易
英国网络攻击报告集更精简
Ryanair在AWS公共云中完成了Flight
TSB IT灾难进入第二周
zuckerberg显示即将到来的Facebook功能
WD将于明年提供录制14TB硬盘
DWP在GDPR上花费近1500万英镑
超过一半的世界人民仍在互联网上
ARM通过ALLINEA收购解决方案兼容性问题
NetApp添加Google Cloud NAS和AFF A800 NVME Flash阵列
隐私集团在谷歌的“欺骗性”政策变革上抱怨FTC
O2显示了新的4G移动频谱的计划
Gartner预测AI将在2018年增加1.2TN的公司收入
黑客攻击DNC的小组也渗透乌克兰炮兵单位
被击毁的乌克兰炮兵单位被攻击的小组
为什么Lufthansa用其HR IT项目返回绘图板
研究人员用粉红色的钻石制造双原子大小的收音机
热潮预期在处理器攻击中
SSD在笔记本电脑中的采用超出了预期
只有较新的系统将获得幽灵芯片缺陷的英特尔固件更新
Facebook的“误导”欧盟监管机构在其收购Whatsapp上
微软的“全球机构”几乎将你射入另一个房间
布里斯托尔历史悠久的桥梁进入了农村宽带服务
另一个消费者反对Windows 10推动力和胜利
美国仔细考虑了航空公司的航空公司规则,该规则计划在飞行中的Wi-Fi语音呼叫
Vodafone CityFibre宽带风险投资收集速度
阿里巴巴的淘宝回到美国黑名单
跨站点脚本顶级漏洞,黑客找到
Apple iPhone 7中GPU的奥秘解锁了
您的位置:首页 >产品 > 智能硬件 >

App开发人员还没有准备好更严格的IOS安全要求

2021-08-02 19:44:10 [来源]:

一个月前,苹果公司预计将对IOS中的应用程序通信进行更严格的安全要求,企业开发人员似乎可以随时接受它们,这是一个新的研究表明。

该研究由安全公司附加型在企业IOS设备上安装的最常见的200个应用程序进行。研究人员研究了这些应用程序符合苹果公司的应用程序运输安全性(ATS)要求的程度。

首次介绍ATS并在IOS 9中默认启用。它强制使用加密的HTTPS(HTTP OVER SSL / TLS)连接与Internet服务器通信的所有应用程序,并确保仅使用没有已知缺陷的行业标准加密协议和密码。例如,不允许使用SSL版本3,并且由于已知的漏洞,RC4流密码也不是。

在ATS之前,App开发人员使用第三方框架实现了HTTPS,但正常配置SSL / TLS很难,因此实现错误很常见。这些削弱了议定书应该提供对抗交通窥探和其他中间人攻击的保护。

目前,iOS为应用程序提供了一种方法,以完全选择退出ATS或仅用于特定连接,但Apple希望更改该应用程序。该公司在全球开发人员会议上,该公司宣布,它将要求在App Store上发布的所有应用程序于今年年底开启ATS。

要求在OS级别执行的要求,但通过App Store审查流程。仍然可以使用一些ATS异常,但如果希望他们的应用程序批准,开发人员将不得不为使用它们提供“合理的理由”。

在他们的学习期间,该应用程序的研究人员发现,97%的分析应用程序 - 193中的200个二手异常和其他设置削弱了默认的ATS配置。

“在我们分析的200个IOS应用中,通过将”NSAllowsArbitrarylabls“属性在其Info.plist文件中设置”nsallowsarbitrarylabls“属性来绕过至少一些ATS要求,”Appthority研究人员在其报告中表示。“但是,并非所有这些都绕过所有网络连接的需求。例如,公司仍然可以支持与其域的网络连接的ATS要求,同时允许绕过所有其他连接。“

在没有使用HTTPS的应用程序中,他们的所有连接都是Facebook,Twitter,LinkedIn,Facebook Messenger,Skype,Viber,Whatsapp,Fox新闻,CNN,BBC,Netflix,ESPN,Hulu,Pandora,亚马逊云播放器,Word,Excel,PowerPoint和OneNote,但也包括像手电筒,QR码阅读器和游戏等实用程序。

虽然有人认为某些连接不需要HTTPS,因为它们是因为它们常常用于传输敏感数据,但是该应用程序发现10个应用程序,该应用程序确实发送设备ID,电子邮件地址,物理地址,邮政编码,地理位置信息甚至密码。或通过未加密的HTTP链接的秘密密钥。

开发人员可以在App Repose过程中可能会要求ATS异常,有很多原因。例如,许多应用程序不仅仅是他们的开发人员的服务器,而且还向第三方广告,市场研究,分析和图像或视频托管服务交谈。在这些外部服务上使用HTTPS超出了应用程序开发人员“控制。

ATS提供了像“NSAllowsArbitraryLainSinmedia”这样的细粒度异常,例如,可以用于允许在HTTP上允许视频或音频内容,同时加密所有其他连接。

然而,根据附加分析,似乎到目前为止,开发人员可以使用更通用的“nsallowsArbitraryLaens”,这些产品在处理此类问题时禁用所有连接的ATS。

该公司没有找到使用“nsallowsarbitraryloadsinmedia”或“nsallowsarbitraryloadsinweboncontent”属性的应用程序来限制ATS异常的范围。它希望苹果公司的新要求将改变。

许多确实使用ATS的应用程序禁用其某些安全功能。例如,Appority使用证书透明度的应用程序分析的应用程序都不是ATS。

此外,其中七个禁用SSL证书验证,46个没有使用证书固定。三十八个应用程序已禁用前向保密和八个应用程序将允许的TLS协议版本设置为1.0或1.1,即使ATS中的安全默认值为TLS 1.2。

“即使在1月1日之后,我们仍然希望在企业环境中具有未加密数据的iOS应用程序,”Appority研究人员表示。“当Apple批准App Store这样的应用程序时,仍然存在与某些连接的未加密数据相关的安全风险,因此企业对具有这些例外相关的风险的知识和管理风险非常重要。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。