Apple and iTunes: The encryption of traffic across the web is now mandatory, or almost mandatory, as Apple chooses not to encrypt downloads from iTunes.
You usually know when a page uses HTTPS encryption from the small green padlock on the left side of the URL bar. If the little lock isn't there something is wrong. That's what Disconnect researchers noticed in Apple's iTunes and App Store.
Every time you download an app or update from the App Store or a movie, a TV show, or a song from iTunes, the download comes via HTTP without TLS.
This makes it at least theoretically easier for an internet service provider, hacker, or even someone on a shared Wi-Fi network to track your movements.
Note that every unencrypted download also includes a code generated by Apple. Called Destination Signaling Identifier, it is a unique device identifier generated by the iCloud and changes periodically.
Disconnect researchers report that attackers could use DSID to track one's habits or the applications he uses.
"Υπάρχουν τόσα πολλά που μπορείτε να μάθετε για κάποιον από τη λήψη μιας εφαρμογής" he says Patrick Jackson, Cisco's Disconnect, and a former NSA researcher.
Οι ερευνητές της Disconnect ανέφεραν το σφάλμα στην Apple τον Σεπτέμβριο, υπογραμμίζοντας τις ανησυχίες τους. Η Apple απάντησε ότι δεν πρόκειται σφάλμα και ότι οι λήψεις μέσω HTTP είναι "αναμενόμενες". Η απάντηση ουσιαστικά επιβεβαιώνει ότι οι λήψεις δεν είναι κρυπτογραφημένες, και σύμφωνα με τους ερευνητές η εταιρεία αρνήθηκε να σχολιάσει περαιτέρω τη χρήση του HTTP στις λήψεις.
While it is surprising that a company claiming to be in favor of privacy does not use secure connections, iOS researcher Will Strafach says he believes the non-use of TLS serves a specific purpose.
By Mission των λήψεων μέσω του HTTP αντί μέσω κρυπτογραφημένων συνδέσεων, οι διαχειριστές συστημάτων, ειδικά σε μεγάλα επιχειρηματικά περιβάλλοντα, μπορούν να δημιουργήσουν ένα είδος σταθμού με προσωρινή αποθήκευση μεγάλων εφαρμογών και αρχείων στο τοπικό τους δίκτυο για ταχύτερη διανομή. Αυτό σημαίνει ότι δεν θα καταναλώνουν εύρος ζώνης αν μια εφαρμογή, μια ενημερωμένη έκδοση ή κάποιο άλλο αρχείο κατεβαίνει ξανά και ξανά σε πολλές Appliances. If connections were encrypted between Apple's servers and devices, the creation of an intermediate station offering temporary storage would not be possible.
However, Apple's specific behavior is not safe. Let's say if the above reason why the company does not add encryption to downloads, the friends of the company will have to think again about giving their money. Let's remind you that we are talking about one of the richest technology companies.
________________________
- TDSSKiller free Rootkit removal from Kaspersky
- Microsoft, Apple, Google, Facebook, Amazon and captivity
- Bugatti Chiron from Lego, it works normally!
