Arendaja selgitab, mida taksoäpi turvarisk tegelikult tähendab

Pane tähele! Artikkel on ilmunud enam kui 5 aastat tagasi ning kuulub Geeniuse digitaalsesse arhiivi.
kood.jpg

Kirjutasime eile sellest, kuidas iOS’I arendaja Henri Normak leidis Taxigo rakendusest turvaaugu.Normak selgitas nüüd Geeniuse lugejatele, mis võib juhtuda kui kasutatakse ebaturvalist HTTP-protokolli.

Läbipaistev ümbrik

“Piltlikult öeldes, kui mina saadan [teile] kirja läbipaistvas ümbrikus, siis kõik, mis ma sinna sisse panen, on lugemiseks näha kogu ümbritsevale maailmale,”selgitas Normak. “HTTP-ga on seis sisuliselt sama. Mõned tehnilised nüansid küll piiravad, kuid sisuliselt samas võrgus olles on kogu liiklus näha. Milliseid andmeid sinna pannakse, on arendaja otsustada, Taxigo puhul oli seal hetkel peamine patune kasutaja mobiilinumber.”

“Olgu mainitud, et valdavalt kasutas Taxigo Websocketite tehnoloogiat ja HTTP-päring tehti vaid sessiooni alguses. Kuna ma täpsemalt socketite peal olevat liiklust ei jälginud, siis ei saa seal kinnitada kas tegemist oli krüpteeritud liiklusega või mitte,” lisas Normak.

Ei ole vaja erilisi teadmisi

“Teadmiste osas ei ole suurt midagi tegelikult vaja [rakenduse pealtkuulamiseks].HTTP päringud on igasuguse packet-snifferiga samas võrgus nähaehk siis sisuliselt istu kusagile avatud WiFisse (nt ostukeskuses või öölokaalis) ja kuula pealt," selgitas Normak. Ta pakkus ka linki lihtsale tööriistale sellise pealtkuulamise tegemiseks, aga jätame selleturvakaalutlustel avaldamata.

“HTTP puhul ei saa kasutaja pealtkuulamisest arugi. See on taas selle läbipaistva ümbriku viga, pärast saatmist sina enam ei kontrolli, kas ja kes näeb või vaatab," rääkis Normak.Samas pole tema sõnul kaHTTPS-protokoll 100% pealtkuulamise vastu kaitstud, küll aga raskendab seda oluliselt. Kokkuvõttes on kasutusjuhtumeid, ksHTTPon piisav, on kohti kus ei ole.

"Kuid üks on kindel: telefonist lahkudes on andmed sisuliselt alati ohus ja mõistlik on seda ohtu nii palju kui võimalik maandadaehk vähemalt HTTPS ühendust kasutada," võttis Normak loo moraali kokku.

Avafoto:Ruiwen Chua (Flickr/CC)

Populaarsed lood mujal Geeniuses

Igal argipäeval

Ära jää ilma päeva põnevamatest lugudest

Saadame sulle igal argipäeval ülevaate tehnoloogia-, auto-, raha- ja meelelahutusportaali olulisematest lugudest.