Apple deixará de aceitar apps sem comunicação segura na App Store

Mão segurando iPhone com vários ícones/símbolos

Com o lançamento do iOS 9, no ano passado, a Apple apresentou aos seus desenvolvedores uma tecnologia direcionada a garantir comunicações seguras a partir de aplicativos, em qualquer fluxo de informações em trânsito para serviços online. Chamada de App Transport Security (ATS), a funcionalidade será promovida para uso mandatório em todos os envios de aplicativos e atualizações para a App Store, no fim de 2016.

Publicidade

Isso significa que, a partir de 2017, todos os aplicativos enviados para a App Store devem estar em conformidade com requisitos de segurança para comunicações impostos pela Apple, via ATS. A medida aumenta o escopo de influência da empresa na busca por uma maior segurança para seus usuários, para os quais a maioria das melhorias realizadas na segurança do iOS ao longo dos últimos anos focavam-se em proteções locais para os seus dispositivos.

Por enquanto, não há números disponíveis a respeito da adoção atual de ATS por desenvolvedores de aplicativos. Contudo, durante a WWDC 2016, quando o anúncio da sua promoção foi realizado em uma das palestras, a recepção geral foi tranquila.

Funcionamento

Em linhas gerais, habilitar o uso de ATS em um aplicativo não pede esforço nenhum no desenvolvimento, pois a Apple já fez isso por padrão no ano passado. Até hoje, para atender a casos especiais, a empresa mantém uma breve documentação com instruções para desativar o uso em certos domínios de internet, conforme necessário, inserindo atributos adicionais via Xcode.

Quando habilitado, o iOS “força” todas as comunicações remotas a serem realizadas usando os métodos de segurança mais recentes de mercado, algo que a Apple deixou claro que está sujeita a alterar de uma versão do seu sistema operacional móvel para outra, de acordo com o ritmo de progresso da indústria — ou do avanço de hackers em quebrá-los, o que costuma vir primeiro. Atualmente, estamos falando do Transport Layer Security (TLS) 1.2, protocolo de comunicação que todos os sites e serviços devem utilizar para garantir o mínimo de segurança, ao transmitir informações de usuários pela internet sem riscos de interceptação.

Publicidade

Não há impacto aparente em código, desde que o desenvolvedor tenha observado a utilização das técnicas nativas recomendadas pela Apple para estabelecer comunicações remotas — algo que ela já tem feito há alguns anos por outros motivos, a exemplo da chamada para ação feita no ano passado ao falar da transição para IPv6. Por outro lado, a maioria dos aplicativos conta com componentes web para habilitar sincronizações de informações, interações sociais, oferta de conteúdo e armazenamento de dados de usuários. Da forma imposta pela Apple, esses serviços também precisam estar preparados para servir todas as informações solicitadas remotamente por usuários de maneira segura, via TLS 1.2.

As únicas exceções automáticas para o uso de ATS são para serviços que trabalham com dados em lote já transmitidos de forma criptografada, serviços de streaming multimídia (como Netflix e similares) e áreas que implementam exibição de páginas de internet usando as interfaces de WebKit e Safari. Também serão aceitas análises de exceções manuais para domínios que os desenvolvedores possam continuar a implementar, mas estas precisarão de uma justificativa declarada no momento do envio para a App Store.

Criptografia forte também será mandatória

Além de tornar mandatório o uso de comunicação segura via App Transport Security, a Apple também tornará obsoletas as cifras RC4 com o iOS 10 e o macOS Sierra 10.12, o que afeta todas as funções criptográficas implementadas com base nesses algoritmos.

Funções de hash baseadas em SHA-1 também têm se mostrado cada vez mais suscetíveis a quebra em ataques, de forma que as atualizações deste ano também passarão a tratá-los como inseguros.

Posts relacionados

Comentários

Carregando os comentários…