Beveiliging iOS-apps

Beveiligde verbinding voor apps verplicht vanaf 1 januari 2017

Apple gaat ontwikkelaars verplicht stellen om App Transport Security (ATS) te gebruiken. Het houdt in dat alle apps vanaf 1 januari 2017 beveiligde verbindingen via HTTPS moeten maken.

Apple introduceerde in iOS 9 de functie App Transport Security; dit zorgt ervoor dat alle verbindingen tussen apps en servers versleuteld zijn. Het was voor ontwikkelaars nog niet verplicht om het te gebruiken, maar daar komt verandering in. Met ingang van 1 januari 2017 moeten alle apps gebruik maken van HTTPS-verbindingen met servers, zodat gegevens alleen nog maar met encryptie kunnen worden verzonden.

Beveiliging iOS-apps

HTTPS vanaf januari 2017 verplicht

Apple maakte het bekend op een beveiligingssessie tijdens WWDC 2016. App Transport Security (ATS) is een functie die Apple in iOS 9 al heeft ingevoerd en die TLS 1.2 vereist. Als App Transport Security is ingeschakeld, maakt de app alleen nog verbinding met webdiensten via een HTTPS-verbinding en niet via HTTP. De S staat voor Secure. Bij internetbankieren en shoppen op website kun je aan het hangslot en aan https in de URL zien dat je te maken hebt met een beveiligde verbinding.

Bij apps is dat minder duidelijk. Je weet niet of een app gebruik maakt van HTTP of HTTPS als je gegevens verstuurt. Apple wil het nu voor iedereen duidelijk maken: vanaf 1 januari 2017 is het verplicht. Ontwikkelaars kunnen momenteel in hun apps nog ATS uitschakelen en de data versturen via een onbeveiligde HTTP-verbinding.

Geen 100% zekerheid
De verplichting geldt voor apps die vanaf eind 2016 worden ingediend bij de App Store. Het betekent overigens niet dat je vanaf dat moment helemaal zeker bent. Oude apps die na 1 januari 2017 niet meer zijn bijgewerkt, kunnen nog steeds gebruik maken van HTTP. Ook werd er vorig jaar een kwetsbaarheid in het protocol ontdekt, waardoor 1.500 apps gevoelig waren voor een man-in-the-middle-aanval bij apps die niet de nieuwste versie van het protocol gebruikten. Verder is het ook zo dat bepaalde apps een uitzonderingspositie krijgen. Browser-apps voor iOS, zoals Chrome, zouden anders alleen websites kunnen tonen die gebruik maken van een beveiligde verbinding.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt 15 juni 2016, 15:17
Categorieën Achtergrond, Apps
Onderwerpen beveiliging, encryptie, ios

Reacties zijn gesloten voor dit artikel.