Apps med falske rodcertifikater fjernet fra App Store

9. oktober 2015 kl. 09:064
Apple har set sig nødsaget til at fjerne ‘få’ apps fra sin App Store på baggrund af en mistanke om, at applikationerne installerede rodcertifikater.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Apple har måttet fjerne ‘få’ apps fra sin App Store, fordi firmaet var bekymrede for, at brugernes data kunne blive kompromitteret.

Det skriver Reuters.

Firmaet vil ikke ud med hvor mange apps, der er tale om, men bekymringen gik angiveligt på, at de fjernede apps var i stand til at forfalske rodcertifikater på enhederne, og derved kunne åbne en direkte kanal til tredjepartsservere med brugernes private information.

På det seneste har App Stores ellers så højt besungne standarder for sikkerhed måttet lide flere knæk, efter at den forfalsket udgave af udviklermiljøet, der blev døbt XcodeGhost, har haft held til at spoofe sig vej igennem sikkerhedsscreenings.

4 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
4
12. oktober 2015 kl. 08:15

Et rodcertifikat er et certifikat, der bruges til at underskrive andre certifikater med.

Stoler du på et rodcertifikat (lidt forenklet), stoler du på alle certifikater, der er underskrevet med rodcertifikatet.

Så hvis din telefon stoler på mit rodcertifikat, kan jeg lave et certifikat, fx www.nemid.nu, og det ville jeg kunne bruge til at få dig til at tro, du talte krypteret med NemID, og i virkeligheden kunne det være min server, du talte med. Kan du se muligheden for fusk?

3
11. oktober 2015 kl. 15:35

For os der ikke spiser rod-certifikater til daglig. Er der nogen der lige vil forklare en ellers formodet it-kyndig, hvad den sikkerhedsbrist går ud på ?

2
9. oktober 2015 kl. 17:20

Nej, det kan de ikke. De kan omdirigere til en side som kan hente certifikatet, men brugeren skal selv godkende at det bliver installeret og aktiveret.

1
9. oktober 2015 kl. 11:25

Det lyder ikke som et godt design i udgangspunktet?

Kan det virkelig passe?