苹果接受Google专家建议，提高应用商店安全级别

这个标题足够讽刺，苹果首席执行官蒂姆库克数天前还公开抨击Android是恶意软件的大本营，而苹果公司却接受Google研究员在内的安全专家的建议提高应用商店的安全性。事实上，苹果应用商店确实存在严重的安全漏洞，用户在公共WiFi热点购买app面临数据失窃甚至app消费欺诈等危险。

苹果应用商店昨日宣布全面启用安全网页浏览协议HTTPS，此举修补了应用商店的一些安全漏洞，防止黑客窃取包括密码在内的用户数据，强迫用户安装、购买app。

在接到包括Google研究员Elie Bursztein在内的多位安全专家的漏洞警告后，苹果今年早些时候进行过一次安全升级，宣布所有动态内容都默认采用https协议。

Bursztein上周五在博客中指出：

苹果之前未能让应用商店的所有通讯都切换到https协议（除了支付页面外），而且苹果应用商店动态页面的生成方式也让用户容易遭受网络攻击，黑客可以通过公共Wi-Fi热点截获未经加密的http网络数据包。

“攻击者只需要与受害者处于同一网络就可实施“中间人”攻击。”Bursztein说道。

在苹果将应用商店升级到https之前，攻击者可以“中间人攻击”等手段窃取用户隐私数据，让用户在不知不觉中被强制消费。例如，攻击者可以在应用商店的应用升级机制中推送假的密码输入提示，从而截获用户账户密码；此外攻击者还可以将用户下载的免费应用悄悄替换成付费应用，用户在不知不觉中购买付费应用。（免费应用和付费应用都需要输入账户密码）

有趣的是，虽然苹果应用商店相比Google Play更为封闭恶意软件也更少，但是苹果在消费者信息安全保护方面的动作却非常滞后。Google早在2010年就已经全面启用HTTPS，包括Gmail。2011年Facebook也开始采用HTTPS，去年将其升级为默认协议，Twitter也是去年就全面升级到了HTTPS。

去年，Mozilla宣布其火狐浏览器Firefox将默认访问网站的https版本，作为对HTTPS everywhere活动的响应。

事实上，正是火狐浏览器的一个黑客插件Firesheep引起了业界对HTTPS的高度重视。Firesheep插件可以在公共热点截获未经加密的http明文数据包，窃取用户数据隐私。

如今，随着苹果也最终加入HTTPS的行列，HTTPS everywhere的理想距离现实更近一步。Bursztein认为，苹果的加入有助于推动更多的开发者——尤其是移动开发者——开始采用HTTPS。“启用HTTPS并确保证书的有效性是保障app通讯安全最重要的措施。”Bursztein说道。