На прошлой неделе прессу облетел скандал о том, что АНБ США занимается сбором адресных книг пользователей популярных систем электронной почты и социальных сетей. Сегодня же критика посыпалась в направлении встроенного в Mac OS X приложения Андресной книги, которое, как выясняется передает данные о контактах пользователя на сервисы электронной почты, такие как Gmail, в открытом виде, не применяя никакого шифрования.
Независимый эксперт по ИТ-безопаности Ашкан Солтани говорит, что все адреса, передаваемые Адресной книгой в Mac OS X, передаются не по безопасному протоколу HTTPS, а в виде открытого xml-набора текстов, перехватить которые не составляет никакого труда, в том числе и для АНБ.
В своем блоге Солтани предоставил скриншот, показывающий, в каком именно виде пользователи отправляют свои конфиденциальные данные. Он отмечает, что при работе через публичные сети WiFi адресная книга пользователя становится достоянием мало-мальски грамотного хакера, способного прослушивать чужой трафик.
Напомним, что ранее в адрес Apple уже раздавалась критика относительно того, что Андресная книга передает данные непонятно каким образом и у пользователей нет никакой возможности форсированно выбрать HTTPS-протокол. При этом, Солтани отмечает, что другие продукты Apple, в частности тот же почтовый клиент в Mac OS X, поддерживают защищенный канал связи с Gmail. Солтани говорит, что для переключения с http на https компании Apple нужно заменить "три строки кода", но компания этого по непонятной причине не делает, хотя сами поставщики почтовых сервисов уже в большинстве своем давно внедрили поддержку шифрованного трафика.
Вероятно, поддержка HTTPS будет реализована в Адресной книге Mac OS X Mavericks, презентация которой ожидается сегодня вечером, полагает эксперт.
Ранее газета The Washington Post сообщила, что АНБ ежедневно собирало около 550 000 разных адресных книг пользователей. В статье приводится заявление Сноудена, в котором тот заявил, что в один из дней АНБ собрало данные из 444 743 адресных книг Yahoo, 105 068 из Hotmail, 82 857 из Facebook, 33 697 из Gmail и еще 22 881 из других источников. В документах также говорится, что у АНБ сбор данных был поставлен на поток и в год могло собираться до 250 млн контакт-листов.
Источник: CyberSecurity
|