iOS-apps die Apple-technologie actief uitschakelen die zorgt voor veilige en gecodeerde communicatie?
Apple heeft een zeer veilige en effectieve technologie geïmplementeerd in zijn iOS waarop Apple iPhones draaien. Meer dan tweederde van de willekeurig geselecteerde en gescande apps onthulde echter dat de functie actief was uitgeschakeld. Het grote deel van de apps in de voorbeeldgegevens die geen gebruik maken van het veilige en gecodeerde communicatieprotocol is nogal zorgwekkend vanuit veiligheids- en privacyperspectief.
Een rapport gepubliceerd door cyberbeveiligingsbedrijf Wandera heeft enkele verrassende en zorgwekkende statistieken onthuld over de manier waarop iOS-apps van derden werken en zich gedragen binnen het mobiele besturingssysteem van Apple. Het bedrijf heeft naar verluidt meer dan 30.000 iOS-applicaties gescand. Uit het onderzoek en de analyse bleek dat 67,7 procent van de apps opzettelijk een standaard iOS-beveiligingsfunctie uitschakelde. Officieel ATS genoemd, wat staat voor App Transport Security, is de functie bedoeld om veilige communicatie met elke externe server te garanderen.
ATS werd voor het eerst geïntroduceerd in iOS 9. De featured debuteerde in september 2015 en is sindsdien in elke iOS-versie en in wezen elke iPhone aanwezig. Vervolgens bevestigde Apple in WWDC 2016 dat het de ondersteuning van ATS vanaf januari 2017 verplicht zou stellen voor alle iOS-apps. Vreemd genoeg legde Apple de plannen in december 2016 opzij, waardoor apps in feite ATS konden omzeilen als ze dat wilden.
ATS is nog steeds inbegrepen en standaard ingeschakeld voor alle iOS-apps. In wezen verplicht het ATS-protocol het gebruik van beveiligde HTTPS-verbindingen. Met andere woorden, ATS kan effectief alle niet-beveiligde maar vrij algemene HTTP-verbindingen blokkeren. Hoewel het HTTPS-protocol nu steeds gebruikelijker wordt en de meerderheid van de ontwikkelaars dit toegewijd gebruiken, zijn er nog steeds verschillende HTTP-servers operationeel en actief.
De meest waarschijnlijke reden voor ontwikkelaars om ATS-ondersteuning in hun apps uit te schakelen, is ervoor te zorgen dat de meeste advertentiekaders en advertentienetwerken soepel werken. Interessant is dat verschillende van dergelijke merken en productpromotienetwerken sterk suggereren dat iOS-ontwikkelaars ATS in apps uitschakelen. Hoewel Apple er actief aan werkt om ervoor te zorgen dat iOS wordt geoptimaliseerd voor advertentieweergave in apps die afhankelijk zijn van advertentie-inkomsten, blijven ontwikkelaars sceptisch. Verschillende beweren dat het verwijderen van ‘roadblocks’, zoals versleutelingsvereisten, het voor ontwikkelaars een stuk gemakkelijker maakt om advertentienetwerken op te nemen.
Onnodig om toe te voegen, gebruiken betaalde apps routinematig het ATS-protocol. Dit komt simpelweg omdat betaalde apps niet afhankelijk zijn van advertentie-inkomsten en app-ontwikkelaars geen reden hebben om ATS uit te schakelen om ervoor te zorgen dat hun inkomsten via advertenties niet worden gehinderd. Overigens schakelen sommige betaalde apps ATS wel uit. Maar ook hier willen ontwikkelaars ervoor zorgen dat de levering van gegevens via HTTP- en HTTPS-servers ongehinderd blijft.