Apps beveiliging

Appmakers nog niet klaar voor Apple’s overstap naar HTTPS

Appmakers zijn nog niet klaar voor de verplichte overstap naar HTTPS, dat Apple in januari 2017 wil invoeren. 97% van de apps voldoet niet.
Gonny van der Zwaag - · Laatst bijgewerkt:

Over een maand gaan er strengere beveiligingsregels gelden voor iOS-apps. Communicatie met internetservers moet vanaf dat moment verlopen via versleutelde HTTPS (HTTP via SSL/TLS). Het zorgt ervoor dat gegevens die je vanuit een app verstuurd beter beveiligd is. Maar veel appontwikkelaars zijn er nog helemaal niet klaar voor, blijkt uit een onderzoek.

Apps beveiliging

HTTPS vanaf januari verplicht

In januari gaat de nieuwe regeling in. Apple heeft verplicht gesteld dat alle apps voldoen aan App Transport Security (ATS), een beveiligingsmaatregel die al in iOS 9 werd ingevoerd en sindsdien optioneel was. Dit zorgt ervoor dat alle verbindingen tussen apps en servers versleuteld zijn. Met ingang van 1 januari 2017 moeten alle apps gebruik maken van HTTPS-verbindingen, maar volgens beveilingsbedrijf Appthority gaat dat niet lukken. Van de 200 gangbare zakelijke apps die ze onderzochten bleek 97 procent niet te voldoen. Zij gebruikten uitzonderingen of afwijkende instellingen, waardoor de beveiliging van ATS werd verzwakt.

Bestaande apps kunnen gewoon beschikbaar blijven in de App Store, maar voor alle apps die in januari 2017 worden ingediend bij Apple moet HTTPS ingeschakeld zijn. Bepaalde apps krijgen een uitzonderingspositie, bijvoorbeeld browser-apps zoals Chrome. Deze apps zouden anders alleen websites kunnen tonen die gebruik maken van een beveiligde verbinding.

Controle via reviewproces van App Store
Voordat ATS werd ingevoerd moesten ontwikkelaars gebruik maken van frameworks van externe partijen om HTTPS te kunnen realiseren. Daarbij traden vaak verbindingsfouten op. Door de functie standaard in iOS in te bouwen wil Apple het gemakkelijker maken. Momenteel is het nog mogelijk om ATS te negeren of alleen voor bepaalde verbindingen te gebruiken, maar vanaf januari 2017 wordt het dus verplicht zodat man-in-the-middle-aanvallen en onderscheppen van data minder makkelijk worden. Apple gaat het afdwingen via het reviewproces van de App Store, niet met technische maatregelen.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt 8 december 2016, 11:02
Categorie Apps
Onderwerp beveiliging

Reacties zijn gesloten voor dit artikel.