隨著YouTube，Gmail，Snapchat和其他網(wǎng)站的推出，Google Cloud癱瘓了新攻擊在現(xiàn)代Android智能手機上創(chuàng)建了鬼攻擊網(wǎng)絡(luò)安全：錯誤配置的服務(wù)器，存儲和云服務(wù)上暴露的文件數(shù)量已增加到23億Checkers餐廳連鎖店披露卡片違規(guī)行為根據(jù)網(wǎng)絡(luò)安全公司W(wǎng)andera今天發(fā)布的一份報告，三分之二的iOS應(yīng)用程序不使用可以幫助他們支持和實施加密通信的Apple技術(shù)。該公司表示，它掃描了超過30,000個iOS應(yīng)用程序，發(fā)現(xiàn)67.7%的應(yīng)用程序故意禁用了名為ATS(App Transport Security)的默認iOS安全功能。

ATS隨著2015年9月發(fā)布的iOS 9發(fā)布而推出，其工作原理是阻止應(yīng)用程序與其遠程服務(wù)器之間的所有HTTP連接。

在WWDC 2016大會上，Apple宣布計劃從2017年1月開始對所有iOS應(yīng)用程序強制執(zhí)行ATS，但該公司在2016年12月放棄了其計劃，即執(zhí)法生效前幾周。

ATS仍默認為所有iOS應(yīng)用程序啟用，開發(fā)人員必須在編寫應(yīng)用程序時禁用它，以防他們需要與HTTP域或可能默認返回HTTP的容易出錯的HTTPS網(wǎng)站進行通信 - 并觸發(fā)ATS禁令。

Wandera在其報告中表示，在其掃描的30,000個應(yīng)用中，只有27%正在使用ATS來強制執(zhí)行加密通信并阻止明文HTTP連接。

大約5.3%使用ATS，但是對于某些域，它們對它進行了細致的禁用。

根據(jù)Wandera的說法，三年后ATS安全功能幾乎沒有被采用的原因似乎是廣告框架/網(wǎng)絡(luò)經(jīng)常在他們的文檔中建議iOS開發(fā)人員禁用應(yīng)用內(nèi)的ATS，以防止iOS阻止與廣告服務(wù)器的通信一個錯誤。

“廣告網(wǎng)絡(luò)運營商處于競爭空間，并希望簡化開發(fā)人員使他們的應(yīng)用兼容的流程，”Wandera說。“通過刪除加密要求等”障礙“，可以讓更多開發(fā)人員更輕松地將廣告網(wǎng)絡(luò)整合到他們的應(yīng)用中。”

這似乎是ATS經(jīng)常被禁用的主要原因。例如，Wandera表示，ATS在付費應(yīng)用中更廣泛使用，不依賴于廣告收入，而應(yīng)用開發(fā)者沒有理由禁用ATS來保護他們的利潤。

一些付費應(yīng)用程序仍然禁用ATS，但這似乎與內(nèi)容管理有關(guān)，一些應(yīng)用程序制造商希望確保HTTP上的遠程托管內(nèi)容或容易出錯的HTTPS加載而不會出現(xiàn)故障。

此外，這些百分比應(yīng)該用一粒鹽，因為ATS被禁用并不一定意味著那些iOS應(yīng)用程序沒有使用HTTPS。

“這只意味著系統(tǒng)安全措施被禁用，因此[HTTPS]錯誤的空間更大，”Wandera團隊表示。