Файловый архив студентов. Файловый архив студентов.
1263 вуза, 4625 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Воронежский государственный университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Безопаснось iOS.docx
Скачиваний:
4
Добавлен:
19.03.2016
Размер:
366.47 Кб
Скачать
►Содержание►

Спасет ли шифрование?

HTTPS - это обычный протокол HTTP, который поддерживает шифрование. Он может защитить передачу данных в виде обычного текста. HTTPS использует SSL или TLS для шифрования запросов и ответов веб сервера, делая их непроницаемыми для сниферов и атак "человек посередине".

Однако, даже HTTPS-соединение не панацея. Атака "человек посередине" может быть осуществлена при использовании HTTPS-соединения. С единственной разницей в том, что нужно будет создать две независимых SSL-сессии, по одной на каждое TCP-соединение.

В начале 2015 года была выпущена версия iOS, которая оказалась незащищена от атак типа man-in-the-middle (MITM) благодаря связанной с протоколом HTTPS уязвимости общедоступной сетевой библиотеки AFNetworking 2.5.1.

Уязвимость действовала при вызове библиотеки приложением в процессе установки соединения HTTPS через протоколы SSL/TSL и относилась к процедуре проверки сертификата SSL. Из-за ошибки проверка сертификата в версии 2.5.1 не выполнялась и злоумышленник мог послать поддельный сертификат, который был бы принят. При этом не использовался метод Certificate Pinning, следящий за тем, чтобы для зашифрованного соединения использовался только один сертификат.

Не смотря на то, что метод атаки не прост, хакер, вооруженный необходимым оборудованием и программным обеспечением, вполне может провернуть подобную атаку даже при зашифрованном соединении.

Man-in-the-middle это не только техника нападения на TCP-соединения. Этим также пользуются в ходе разработки веб-приложений, оценивая уязвимости скриптов.

Заключение

Мы изучили базовые функции безопасности операционной системы iOS, но несмотря на кажущуюся неуязвимость системы, всегда найдутся способы обойти функции безопасности. Рассмотренные уязвимости еще раз подтверждают простую истину: полностью безопасных систем нет; и один из способов держать уровень безопасности на приемлемом уровне – это своевременные обновления.

Источники:

  1. http://www.apple.com/business/docs/iOS_Security_Guide.pdf

  2. https://developer.apple.com/library/ios/navigation/index.html 

  3. http://theiphonewiki.com/wiki/ 

  4. http://www.idownloadblog.com/downgrade/

  5. https://drive.google.com/file/d/0BxxXk1d3yyuZOFlsdkNMSGswSGs/view?pref=2&pli=1

  6. http://www.securityscripts.ru/articles/%D0%A8%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5/man-in-the-middle-attack.html

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности