Nieuws
image

99% Android-telefoons lekt inloggegevens

dinsdag 17 mei 2011, 11:25 door Redactie, 10 reacties

Android-gebruikers die via onbeveiligde draadloze netwerken surfen, lopen het risico dat aanvallers er met hun inloggegevens vandoor gaan. Duitse beveiligingsonderzoekers hebben een probleem ontdekt in de manier waarop Android-telefoons gegevens versturen. Sommige applicaties versturen de authenticatie tokens voor het inloggen als platte tekst. Aanvallers kunnen zo via het gratis programma Wireshark deze tokens onderscheppen en zelf gebruiken.

"De aanval lijkt op het stelen van sessiecookies van websites (Sidejacking). De haalbaarheid van Sidejacking tegen bekende websites zoals Facebook en Twitter, is onlangs door de Firesheep plugin gedemonstreerd, die veel aandacht kreeg", aldus de onderzoekers van de Ulm Universiteit.

WiFi-netwerken
In Android 2.3.4 en 3 gebruikt Google inmiddels HTTPS, maar nog niet voor de Picasa app. Het grootste risico lopen gebruikers met Android 2.1 en 2.2 toestellen. "Tot en met Android 2.3.3 versturen de Calendar en Contacts apps gegevens als platte tekst via HTTP en zijn daardoor kwetsbaar voor de authToken-aanval. Dit treft 99,7% van alle Android smartphones", zo laten de onderzoekers weten. "vanaf Android 2.3.4, gebruiken de Calendar en Contacts apps een veilige HTTPS-verbinding. De Picasa synchronisatie gebruikt nog steeds HTTP en is dus kwetsbaar."

De onderzoekers adviseren gebruikers dan ook om naar Android 2.3.4 te upgraden. In veel gevallen is een update echter niet beschikbaar. In dat geval kan men de automatische synchronisatie feature uitschakelen. "De beste bescherming op het moment is het vermijden van open draadloze netwerken bij het gebruik van de kwetsbare apps."

Reacties (10)
17-05-2011, 11:52 door Walter
Uuhm, volgens mij loopt iedereen het risico om inloggegevens rond te strooien als je gebruik maakt van een onbeveiligd netwerk.
Laten we eerst eens beginnen met eindgebruikers ervan bewust te maken dat een onbeveiligd netwerk niet verstandig is, daarna om alleen via https/pop3s/imaps enzovoorts gebruikersnamen en wachtwoorden te versturen.

Als daarnaast ook nog eens goed wordt gewerkt aan cliënt/server beveiliging zijn we nog een stukje verder.

Wat ik overigens wel knap vind is dat er toch gegevens als platte tekst via HTTPS worden verstuurd, dat is (op zijn zachtst gezegd) niet netjes en duidelijk een programmeerfoutje.
Laten we gebruik maken van een beveiligde verbinding, waarover we niet beveiligde informatie gaan sturen, dat is makkelijker zucht.
17-05-2011, 11:52 door Walter
?dubbel?
17-05-2011, 12:08 door [Account Verwijderd]
[Verwijderd]
17-05-2011, 13:24 door Anoniem
Ik gebruik de vpn dienst van www.blackvpn.com. Met deze referal code MJVWNNM krijg je twee maanden extra gratis. 100% garantie dat er niets meer te onderscheppen is.

https://www.blackvpn.com/support/android/
17-05-2011, 14:01 door Mysterio
Door Peter V: En hoe is het gesteld met de smartphones van LG?

Als ik surf doe ik dat alleen via mijn eigen beveiligde wifi-netwerk.
Het is niet echt merk afhankelijk, meer Android afhankelijk.
17-05-2011, 15:05 door Anoniem
Ik vraag mij dan af wat een oplossing hier voor is. Het instellen van een versleutelde VPN verbinding naar huis? Zodat alle aanvragen via die verbinding gaan? Ik vraag me af of dat op Android / Iphone telefoons.
17-05-2011, 15:42 door Anoniem
Door Anoniem: Ik vraag mij dan af wat een oplossing hier voor is. Het instellen van een versleutelde VPN verbinding naar huis? Zodat alle aanvragen via die verbinding gaan? Ik vraag me af of dat op Android / Iphone telefoons.


1 of andere "specialist" uit het kabinet zal wel zeggen: "Wireshark verbieden, probleem opgelost."
17-05-2011, 18:17 door Anoniem
Voor de android-gebruikers die wel 2.3.4 willen gebruiken zou ik zeggen: ff rooten en MIUI installeren (indien je ondersteund toestel hebt uiteraard). Na het rooten heb ik teven droidwall op mijn telefoon gezet en beschik ik dus over een firewall op applicatie-niveau, zodat ik alle rommel die niks op netwerken te zoeken (zoals bijvoorbeeld angry birds) heeft kan blokkeren.
17-05-2011, 21:26 door Anoniem
Ik denk dat je meer risico loopt met het over straat lopen met de kans om overvallen te worden dan dat dit gebeurd..
18-05-2011, 09:55 door Anoniem
Door Anoniem: Ik vraag mij dan af wat een oplossing hier voor is. Het instellen van een versleutelde VPN verbinding naar huis? Zodat alle aanvragen via die verbinding gaan? Ik vraag me af of dat op Android / Iphone telefoons.

Mogelijk, Ik heb thuis een openvpn server, door die tunnel connect ik naar mn torrentserver (ter bediening). Maar met een configfile regeltje in je server kan je ook al het verkeer erdoorheen tunnellen. Door gebruik te maken van UDP (wat standaard zo is) blijft je dataconnectie waarschijnlijk ook niet constant open en is de battery-drain minimaal. Werkt zoiezo op android 2.3
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search