Apple изменила намерения к концу года обязать разработчиков использовать модель HTTPS-only, отказавшись от ненадежных HTTP-соединений, провоцирующих слежку. На прошлой неделе стало известно о том, что дедлайн на внедрение App Transport Security отсрочен, хотя на сколько, Apple не уточнила.

Расширение использования протокола App Transport Security (ATS) — одно из приоритетных направлений в Apple. Концепция ATS была впервые изложена представителями компании на Всемирной конференции разработчиков (WWDC) в 2015 году. Опубликованный на тот момент документ подчеркивал важность стандартизации безопасной передачи данных между приложениями (на iOS и macOS) и бэкэнд-серверами. На WWDC 2016 Apple предупредила разработчиков, что поддержка ATS станет обязательной для всех приложений с января 2017 года.

Однако в минувшую среду Apple объявила о продлении срока внедрения этого стандарта. «На WWDC 2016 мы объявили о том, что к концу этого года приложения, публикуемые в App Store, должны будут в обязательном порядке поддерживать ATS, — говорится в сообщении, адресованном разработчикам. — Этот конечный срок был отложен, чтобы дать вам дополнительное время на подготовку; мы обновим это сообщение, когда определимся с новым дедлайном».

Протокол App Transport Security был впервые введен в iOS 9 и OS X v10.11; он определяет использование таких технологий, как TLS 1.2, AES-128 и SHA-2. ATS также предусматривает совершенную прямую секретность (perfect forward secrecy), методику обмена ключами, при которой закрытые ключи определяются для каждой сессии; таким образом, если ключ скомпрометирован, под угрозой окажется лишь конкретная сессия. На тот момент Apple пообещала, что поддержка прямой секретности будет внедрена позднее.

На вопрос об уровне внедрения ATS и причинах отсрочки Apple ответа не дала. Тем не менее результаты недавнего исследования Appthority показывают, что большинство разработчиков просто не готовы соответствовать стандарту ATS. Так, из 200 наиболее распространенных корпоративных iOS-приложений 97% используют исключения ATS и настройки, не отвечающие дефолтным конфигурациям ATS. «К нашему удивлению, мы обнаружили, что лишь 3% приложений реализуют ATS безо всяких исключений», — пишут исследователи.

Для развертывания ATS-протокола Apple предоставила разработчикам список допустимых исключений; к примеру, можно не требовать HTTPS, когда приложение использует шифрованный видеопоток и соединяется с конкретным HTTP-адресом. Согласно Appthority, HTTPS-only не используют такие топовые iOS-приложения, как Facebook, LinkedIn, CNN, Netflix, Microsoft Word и Skype.

Однако картина внедрения этой модели на Android оказалась еще более плачевной. «Из 200 топовых Android-приложений 160 (80%) не используют HTTPS, — сказано в отчете Appthority. — В настоящее время использование HTTPS iOS-приложениями гораздо шире, и ожидается, что этот показатель станет еще больше к январю 2017 года».

Категории: Аналитика, Кибероборона