一个月之前,苹果公司预计将对iOS中的应用程序通信进行更严格的安全要求,企业开发人员似乎没有准备好接受它们,这是一个新的研究表明。
的研究在Enterprise环境中安装在IOS设备上安装的最常见的200个应用程序上的安全公司附加。研究人员研究了这些应用程序符合Apple的应用程序运输安全性(ATS)要求的程度。
ATS首次被引入,并在iOS 9中默认启用。它强制所有应用程序使用加密的HTTPS (HTTP over SSL/TLS)连接与互联网服务器通信,并确保只使用行业标准的加密协议和没有已知弱点的密码。例如,由于已知的漏洞,SSL版本3和RC4流密码都是不允许的。
在ATS之前,App开发人员使用第三方框架实现了HTTPS,但正常配置SSL / TLS是难以实现的,因此实现错误很常见。这些削弱了议定书应该提供对抗交通窥探和其他中间人攻击的保护。
目前,iOS提供了一种方法,让应用程序选择完全退出ATS,或者只在特定连接时使用ATS,但苹果想要改变这一点。在今年6月的全球开发者大会上,该公司宣布,将要求App Store上发布的所有应用程序在今年年底前启用ATS。
这一要求不会在操作系统层面强制执行,而是通过App Store的审查过程。使用一些ATS例外仍然是可能的,但如果开发者想让自己的应用获得批准,就必须提供一个“合理的理由”来使用它们。
在他们的研究中,Appthority的研究人员发现,在被分析的200个应用中,有193个使用了例外和其他削弱ATS默认配置的设置。
“在我们分析的前200款iOS应用中,166款(83%)应用通过在Info中设置‘NSAllowsArbitraryLoads’属性为‘true’,至少绕过了一些ATS要求。Appthority的研究人员在他们的报告中说。“然而,并不是所有的网络连接都能绕过ATS要求。例如,公司仍然可以支持ATS对其域网络连接的要求,同时允许ATS绕过所有其他连接。”
在应用程序不使用HTTPS连接的都是像Facebook、Twitter、LinkedIn, Facebook Messenger, Skype推出,WhatsApp,福克斯新闻,CNN, BBC, Netflix, ESPN, Hulu,潘多拉,亚马逊云播放器,Word, Excel, PowerPoint,和OneNote,而且实用应用程序像手电筒一样,二维码的读者和游戏。
虽然可以说某些连接不需要HTTPS,因为它们不用于传输敏感数据,所以附加研究人员发现了10个应用程序ID,电子邮件地址,物理地址,邮政编码,地理位置信息甚至密码的应用程序或通过未加密的HTTP链接的秘密密钥。
有很多原因导致开发者不能在所有的连接中开启ATS,并可能在应用审查过程中要求ATS例外。例如,许多应用不仅与开发者的服务器对话,还与第三方广告、市场研究、分析和图像或视频托管服务对话。在这些外部服务上使用HTTPS是应用程序开发者无法控制的。
ATS提供了像“NSAllowsArbitraryLainSinmedia”这样的细粒度异常,例如,可以用于允许在HTTP上允许视频或音频内容,同时加密所有其他连接。
然而,根据Appthority的分析,到目前为止,开发人员似乎更喜欢使用更通用的“NSAllowsArbitraryLoads”,它在处理此类问题时对所有连接禁用ATS。
该公司没有发现任何应用程序使用“NSAllowsArbitraryLoadsInMedia”或“NSAllowsArbitraryLoadsInWebContent”属性来限制ATS异常的范围。它希望苹果的新要求能改变这一点。
许多使用ATS的应用程序禁用了它的一些安全功能。例如,Appthority分析的所有应用程序都没有使用ATS提供的证书透明度。
此外,其中7个禁用了SSL证书验证,46个没有使用证书固定。38个应用程序禁用了Forward Secrecy, 8个应用程序将允许的TLS协议版本设置为1.0或1.1,尽管ATS的安全默认版本是TLS 1.2。
Appthority的研究人员表示:“即使在1月1日之后,我们仍然希望iOS应用程序在企业环境中使用未加密的数据。”“当苹果批准这类应用程序进入App Store时,一些连接的未加密数据仍会存在安全风险,因此,对于企业来说,了解和管理与这些例外应用程序相关的风险非常重要。”