SKUFFET: Utvikler Geir Olav Heiene er skuffet over at det tar så lang tid å få brakt nettbrett- og mobil-apper over på tryggere HTTPS-kommunikasjon. (Foto: Toralv Østvang)

SKUFFET: Utvikler Geir Olav Heiene er skuffet over at det tar så lang tid å få brakt nettbrett- og mobil-apper over på tryggere HTTPS-kommunikasjon. (Foto: Toralv Østvang)

Skuffet over utsatt kryptering

Apple har utsatt på ubestemt tid kravet om at alle apper som sendes inn for App Store-godkjenning, må støtte ATS-kryptering. - Skuffende, sier norsk utvikler.

Det var på Apples store globale utviklerkonferanse i juni i fjor at selskapet kunngjorde at alle apper må støtte ATS-kryptering for å bli godkjent for distribusjon gjennom Apples nettbutikk App Store.

Fristen var satt til 1. januar 2017.

Nå har Apple frafalt kravet, og noen ny tidsfrist er foreløpig ikke kunngjort, melder IDGs nyhetstjeneste.

Skuffende

På utviklerhold blir utsettelsen møtt med skuffelse, selv om man erkjenner at en slik omlegging vil ta tid.

- Hacking-saken mellom USA og Russland som ruller for tiden er nok en ubehagelig påminnelse om å ta sikkerhet og kryptering på alvor - enten det gjelder tradisjonell epost eller apper på brett og telefoner, sier utvikleren Geir Olav Heiene i Oslo i en kommentar til Computerworld.

I sitt firma Active Templates AS jobber Heiene blant annet med å utvikle krypteringsløsninger for bedrifter som bruker Microsoft Outlook til sine eposttjenester.

Heiene fremholder at han ikke finner det overraskende at det tar lang tid å få apper for IOS og Android over på sikker HTTPS-kommunikasjon uten sterke incitament.

– Et slik incitament er for eksempel Apples opprinnelige deadline nå 1. januar, sier Heiene, og fortsetter:

– Det er derfor skuffende med denne utsettelsen på ubestemt tid.

Tryggere kommunikasjon

ATS er en forkortelse for App Transport Security og er en funksjon som ble introdusert i Apples mobil-operativsystem IOS versjon 9. Funksjonen tvinger appene til å kommunisere via internett-servere som benytter HTTPS, en kryptert versjon av HTTP-protokollen for World Wide Web-kommunikasjon.

HTTPS står for HTTP over SSL- eller TLS-protokollene, to sikkerhetsprotokoller som skal gi beskyttelse mot tyvlytting og mot at noen kan endre på de sendte dataene.

ATS skal være en forsikring om at det bare er standardiserte krypteringsprotokoller som benyttes. Frem til nå har mange utviklere brukt tredjepartsløsninger til dette formålet.

Selv om ATS som standard er aktivert i IOS, kan utviklere slå av enkelte krypteringsfunksjoner eller til og med slå dem av fullstendig, hvis de vil. 

Også på Android-siden jobbes det for økt bruk av HTTPS, men der er det foreløpig ikke satt noen tidsfrister, melder bloggen Cheap SSL-security

97 prosent styrer utenom

Sikkerhetsfirmaet Appthority gjennomførte for en stund siden en undersøkelse av de 200 mest populære appene som er installert på IOS-enheter – Iphone-er og Ipad-er – brukt i bedriftene. Hele 97 prosent av dem styrer utenom i hvert fall noen av ATS-kravene til sikkerhet, og dermed svekkes den anbefalte konfigurasjonen.

ATS-kravet fra Apple gikk ut på at app-utviklerne måtte følge ATS-retningslinjene – eller gi en akseptabel begrunnelse for eventuelle unntak.

Det er mange grunner til at utviklerne ønsker å styre utenom noen av krypterings- og sikkerhetskravene. Mange apper er knyttet til tredjeparts-annonsering, trafikkanalyse og medietjenester der de som utvikler appene, ikke har noen innflytelse på om HTTPS benyttes eller ikke.

Kan ta lang tid

Mot slutten av desember bekreftet Appthority at andelen av apper som støttet ATS-kravene var økt noe, men bare til fem prosent, og sikkerhetsfirmaet fastslo at et uakseptabelt stort antall apper ikke ville rekke Apples ATS-deadline.

UTSATT KRYPTERING: Apple erkjenner at kravet om at alle apper skal kommunisere kryptert, er tidkrevende å gjennomføre. (Illustrasjon: Pixabay.com)
UTSATT KRYPTERING: Apple erkjenner at kravet om at alle apper skal kommunisere kryptert, er tidkrevende å gjennomføre. (Illustrasjon: Pixabay.com)

Grunnen til at Apple ikke har kunngjort noen ny deadline, er trolig at ATS-kravet neppe vil kunne innfris før om ganske lang tid, antar sikkerhetsfirmaet.

Appthority anbefaler at bedrifter holder et øye med ATS-kompatibiliteten til appene som de ansatte bruker og vurderer alternativer til apper som har tilgang til bedriftens sensitive data.