Appmakers nog niet klaar voor Apple’s overstap naar HTTPS

Appmakers zijn nog niet klaar voor de verplichte overstap naar HTTPS, dat Apple in januari 2017 wil invoeren. 97% van de apps voldoet niet.

Over een maand gaan er strengere beveiligingsregels gelden voor iOS-apps. Communicatie met internetservers moet vanaf dat moment verlopen via versleutelde HTTPS (HTTP via SSL/TLS). Het zorgt ervoor dat gegevens die je vanuit een app verstuurd beter beveiligd is. Maar veel appontwikkelaars zijn er nog helemaal niet klaar voor, blijkt uit een onderzoek.


Apps beveiliging

HTTPS vanaf januari verplicht

In januari gaat de nieuwe regeling in. Apple heeft verplicht gesteld dat alle apps voldoen aan App Transport Security (ATS), een beveiligingsmaatregel die al in iOS 9 werd ingevoerd en sindsdien optioneel was. Dit zorgt ervoor dat alle verbindingen tussen apps en servers versleuteld zijn. Met ingang van 1 januari 2017 moeten alle apps gebruik maken van HTTPS-verbindingen, maar volgens beveilingsbedrijf Appthority gaat dat niet lukken. Van de 200 gangbare zakelijke apps die ze onderzochten bleek 97 procent niet te voldoen. Zij gebruikten uitzonderingen of afwijkende instellingen, waardoor de beveiliging van ATS werd verzwakt.

Bekijk ook
Beveiligde verbinding voor apps verplicht vanaf 1 januari 2017

Beveiligde verbinding voor apps verplicht vanaf 1 januari 2017

Apple gaat ontwikkelaars verplicht stellen om App Transport Security (ATS) te gebruiken. Het houdt in dat alle apps vanaf 1 januari 2017 beveiligde verbindingen via HTTPS moeten maken.

Bestaande apps kunnen gewoon beschikbaar blijven in de App Store, maar voor alle apps die in januari 2017 worden ingediend bij Apple moet HTTPS ingeschakeld zijn. Bepaalde apps krijgen een uitzonderingspositie, bijvoorbeeld browser-apps zoals Chrome. Deze apps zouden anders alleen websites kunnen tonen die gebruik maken van een beveiligde verbinding.

Controle via reviewproces van App Store
Voordat ATS werd ingevoerd moesten ontwikkelaars gebruik maken van frameworks van externe partijen om HTTPS te kunnen realiseren. Daarbij traden vaak verbindingsfouten op. Door de functie standaard in iOS in te bouwen wil Apple het gemakkelijker maken. Momenteel is het nog mogelijk om ATS te negeren of alleen voor bepaalde verbindingen te gebruiken, maar vanaf januari 2017 wordt het dus verplicht zodat man-in-the-middle-aanvallen en onderscheppen van data minder makkelijk worden. Apple gaat het afdwingen via het reviewproces van de App Store, niet met technische maatregelen.

Informatie

Laatst bijgewerkt
8 december 2016 om 11:02
Onderwerp
Categorie
Apps

Reacties: 4 reacties

Reacties zijn gesloten voor dit artikel.