App Store 將從明年起強制開發者遵守 ATS 安全標準

作者 | 發布日期 2016 年 06 月 17 日 17:34 | 分類 Apple , iOS , 資訊安全 follow us in feedly
Flickr/YunHo LEE

「App Store 2.0」是今年 WWDC 前的一項預期,儘管變革不多,不過除了一些比較公開的政策變化,例如縮短了 App 上架的審核時間,更改訂閱的拆帳比例,並提供搜尋廣告,蘋果其實還新增了其他不是那麼檯面化的改變。



App Transport Security(ATS)是蘋果在去年跟著 iOS 9 與 OS X El Capitan 一起發表的安全標準,可以在 App 與網路服務之間連接資料時進行額外加密,保護使用者資料,並要求裝置在進行網路對接時,必須改採 HTTPS 安全協議。

不過,這項服務並沒有要求開發者強制啟用。事實上,除了開發者可以自行選擇要開啟或關閉,就連 Google 也曾提供程式碼,幫助開發者暫停 ATS,以避免 App 無法正常地呈現廣告聯播──因為不是所有線上廣告都使用 HTTPS。此外,儘管有許多網站都已經支援這項協議,在 App 界卻還不是那麼盛行。

然而從 2017 年 1 月開始,所有登上蘋果 App Store 的新 App 或更新,都必須強制啟用 ATS 標準,儘管這項政策將只先適用於 iOS。蘋果的安全工程與架構部門的主管 Ivan Krstic 表示,這將在蘋果用戶傳送資料時得到更好的安全性,畢竟用戶並不會知道現在在使用的網路協議是否為 HTTPS。

只不過,這項協議當然並不保證全然的安全。事實上,在 2015 年便曾因為 HTTPS 的 bug,導致有高達 1,500 個 iOS App 曝露在中間人攻擊(Man-in-the-middle attack,MITM)的風險。

(首圖來源:Flickr/YunHo LEE CC BY 2.0) 

發表迴響