Apple: downloads do iTunes sem criptografia

Apple e iTunes: agora, a criptografia do tráfego na Web é obrigatória, ou quase obrigatória, pois a Apple opta por não criptografar os downloads do iTunes.

Você geralmente sabe quando uma página usa criptografia HTTPS no pequeno cadeado verde no lado esquerdo da linha de URL. Se não houver um cadeado pequeno, algo acontece. Foi o que os pesquisadores do Disconnect do iTunes e da App Store da Apple notaram.maçã

Sempre que voc√™ baixa um aplicativo ou atualiza√ß√£o da App Store ou de um filme, programa de TV ou m√ļsica do iTunes, o download ocorre via HTTP sem TLS.

Isso torna, pelo menos teoricamente, mais fácil para um provedor de serviços de Internet, um hacker ou mesmo alguém em uma rede Wi-Fi compartilhada monitorar seus movimentos.

Observe que qualquer download não criptografado também inclui uma senha gerada pela Apple. Ele é chamado de Identificador de Sinalização de Destino e é um ID de dispositivo exclusivo gerado pelo iCloud e alterado periodicamente.Os pesquisadores de desconexão relatam que os invasores podem usar DSIDs para rastrear os hábitos ou aplicativos de alguém. usos.

“H√° muito que voc√™ pode aprender sobre algu√©m baixando um aplicativo”, disse Patrick Jackson, CTO da Disconnect e ex-pesquisador da NSA.

Pesquisadores da Disconnect relataram o erro na Apple em setembro, destacando suas preocupa√ß√Ķes. A Apple respondeu que n√£o foi um erro e que os downloads HTTP eram “esperados”. A resposta confirma essencialmente que os downloads n√£o s√£o criptografados e, de acordo com os pesquisadores, a empresa se recusou a comentar mais sobre o uso do HTTP nos downloads.

Embora seja surpreendente que uma empresa que afirma ser a favor do sigilo privado n√£o use conex√Ķes seguras, o pesquisador do iOS Will Strafach diz que acredita que o n√£o uso do TLS serve a um prop√≥sito espec√≠fico.

Ao enviar downloads HTTP em vez de conex√Ķes criptografadas, os administradores de sistema, especialmente em grandes ambientes de neg√≥cios, podem criar um tipo de esta√ß√£o com armazenamento tempor√°rio de grandes aplicativos e arquivos em sua rede local para uma distribui√ß√£o mais r√°pida. Isso significa que eles n√£o consumir√£o largura de banda se um aplicativo, atualiza√ß√£o ou outro arquivo for baixado repetidamente em muitos dispositivos. Se as conex√Ķes fossem criptografadas entre servidores e dispositivos Apple, n√£o seria poss√≠vel criar uma esta√ß√£o intermedi√°ria que ofere√ßa armazenamento tempor√°rio.

No entanto, o comportamento específico da Apple não é seguro. Note-se que, se a razão acima pela qual a empresa não adiciona criptografia aos downloads for válida, os amigos da empresa devem pensar novamente em doar seu dinheiro. Lembre-se de que estamos falando de uma das empresas de tecnologia mais ricas.

__________________________