HTTPS blir nå et krav i alle apper til iOS og macOS. (Bilde: Torsten Dettlaff)

App Transport Security

– Positivt at Apple tvinger dette igjennom

HTTPS blir obligatorisk i apper.

I en nettleser er det enkelt å se det hvis datatrafikken er beskyttet med kryptering. Det kjennetegnes typisk med en grønn hengelås i form av et ikon til venstre for adressefeltet.

I tillegg ser man at nettadressen bruker HTTPS-protokollen, framfor HTTP der data blir sendt i klartekst.

Verre er det med kommunikasjonen som foregår i mobilapper og annen programvare. Her er det ingen tilsvarende konvensjon. Hva som skjer i bakgrunnen er noe brukerne ikke forholder seg til.

Apple tar grep

Men stadig oppdages det apper som sender og mottar data i klartekst. Her er det nemlig mange utviklere som synder.

Det blir det omsider slutt på i Apples univers. Selskapet varslet denne uken at de innfører App Transport Security (ATS) som krav til all programvare i App Store. Nyheten er fanget opp blant annet av Cnet, Techcrunch og iMore.

Utviklere må senest ved utgangen av 2016 ha sørget for å ta i bruk sikkerhetsfunksjonen, som i praksis fungerer som HTTPS. Dataforbindelser til og fra appen og en web service, et webgrensesnitt eller tilsvarende blir kryptert.

Det som først ble innført som en anbefaling under iOS 9 blir dermed obligatorisk. Det samme vil gjelde under macOS. ATS motvirker utilsiktet datalekkasje, er enkelt å ta i bruk og er også påskrudd som standard i de siste versjonene av begge de nevnte operativsystemene, ifølge Apple.

Positiv til Apples krav

– Det skulle bare mangle, men at Apple tvinger dette igjennom er en positiv ting. Det sender et klart signal om at når utviklere selv ikke sørger for å legge inn sikring i appene sine, så gjør de det selv, sier sikkerhetsekspert Per Thorsheim til digi.no.

Det er nemlig en smal sak for en angriper å ta seg til rette hvis datakommunikasjonen ikke er kryptert. Og slett ikke bare for å fange opp sensitive data som brukernavn og passord.

Sikkerhetsekspert Per Thorsheim er positiv til Apples krav om kryptering av datatrafikk i apper.
Sikkerhetsekspert Per Thorsheim er positiv til Apples krav om kryptering av datatrafikk i apper. Foto: Privat

– Det er blitt demonstrert, og verktøy for dette finnes gratis tilgjengelig på nett, at man kan kjøre «mannen-i-midten»-angrep med patching av binærfiler i sanntid. La oss si at du laster ned SSH-klienten Putty, for å ta et eksempel. Når du laster ned over en usikret forbindelse, kan noen sitte et sted i nettverket mellom din klient og serveren, og endre på filen. Slik kan filen du laster ned på datamaskinen være en annen fil enn den som ligger på serveren. Det kan bli lagt inn en trojaner i filen, advarer Thorsheim.

Det er nok av eksempler på at selv store internasjonale aktører ikke har brydd seg med å beskytte datatrafikken til og fra programvaren de tilbyr kundene sine.

Nylig kan hackingen av elbilen Nissan Leaf og hybridbilen Mitsubishi Outlander tjene som aktuelle eksempler på det.

Begge hadde mobilapper for fjernstyring av funksjoner i bilene, der datastrømmen ble sendt i klartekst. Det gjorde det enkelt å kartlegge tjenestene, finne sårbarheter og deretter utnytte dem.

– Det hadde vært mye vanskeligere å hacke disse dersom mobilappene hadde kryptert kommunikasjon, vedgår Thorsheim.

Selv bruker han verktøy for å snoke på datatrafikken fra mobilappene han benytter hjemme. Han tester da appene for å se hvilke som kommuniserer i klartekst over internett. Pakkesnifferen Wireshark er de facto standardverktøy til slike oppgaver.

Apple later nå til å ta et grep som konkurrentene foreløpig har til gode å gjøre. Verken Per Thorsheim eller digi.no er kjent med at de øvrige operativsystem-aktørene har tilsvarende planer eller krav.

– Jeg har ikke hørt at andre har gjort det samme, men magefølelsen min er at Apple ligger foran Microsoft og Google på dette området. Tradisjonelt er iOS også mer lukket og sikret enn det Android er, sier han.

Kan kludre det til med tredjepart

Det er andre hensyn det kan være greit å være seg bevisst:

Google kom faktisk i fjor med informasjon til utviklere om hvordan de kunne skru av Apples App Transport Security. Fordi krypteringen kan komme i konflikt med tredjeparts annonsenettverk.

I et blogginnlegg de senere måtte oppdatere, understreker Google at de er sterke tilhengere av HTTPS. – Utviklere bør bare vurdere å deaktivere ATS dersom de har mislyktes med andre tilnærminger for å oppfylle ATS-standarden, skriver selskapet. 

Kommentarer (7)

Kommentarer (7)
Til toppen