iOS Apps könnten vom neuen Security.plist Standard profitieren
Anfang dieses Monats schlug der Sicherheitsforscher Ivan Rodriguez einen neuen Sicherheitsstandard für iOS-Anwendungen vor, den er Security.plist nannte. Die Idee ist einfach. Die Hersteller von Anwendungen würden eine Eigenschaftslistendatei (plist) namens security.plist erstellen, die sie in das Rootverzeichnis ihrer iOS-Anwendungen einbetten würden.
Die Datei würde alle grundlegenden Kontaktdaten enthalten, um dem Ersteller der Anwendung eine Sicherheitslücke zu melden. Sicherheitsforscher, die eine Anwendung analysieren, hätten eine einfache Möglichkeit, mit den Entwicklern der Anwendung in Kontakt zu treten.
Rodriguez sagte, dass die Idee für Security.plist von Security.txt kam, einem ähnlichen Standard für Websites, der Ende 2017 vorgeschlagen wurde.
Security.txt durchläuft derzeit einen offiziellen Standardisierungsprozess bei der Internet Engineering Task Force (IETF), aber es wurde bereits weit verbreitet angenommen, und Unternehmen wie Google, GitHub, LinkedIn und Facebook haben alle eine security.txt Datei auf ihren Seiten gehostet, so dass Bug-Jäger mit ihren jeweiligen Sicherheitsteams in Kontakt treten können.
Rodriguez, der ein Amateur-Fehlersucher in iOS-Apps ist, sagte, dass er sich entschieden hat, eine ähnliche Sache für iOS-Apps vorzuschlagen, weil es in der Vergangenheit ein Problem war, mit dem Entwickler oder dem Sicherheitsteam einer App in Kontakt zu treten. „Ich verbringe die meiste Zeit meiner Freizeit damit, in mobilen Anwendungen zu stochern, was dazu geführt hat, dass ich viele Schwachstellen gefunden habe und ich muss noch eine finden, die einen einfachen Weg hat, den richtigen Kanal zu finden, um diese Probleme verantwortungsvoll offenzulegen“, sagte Rodriguez diese Woche in einer E-Mail an CPORT.
„Meistens muss ich eine E-Mail an eine allgemeine info@company.com schreiben oder ein Formular auf der Website company.com/contact ausfüllen. Die meisten dieser Kanäle werden von Leuten aus dem Marketing oder Vertrieb bedient, die vielleicht keine Ahnung haben, wie sie reagieren sollen, was sie tun sollen oder ob es sich überhaupt um ein echtes Problem handelt“, sagte der Forscher.
Er argumentiert, dass dies viel einfacher wäre, wenn die entsprechenden Kontakte in einer Plist-Datei aufgelistet wären, die im Root der App gehostet wird.