image

'Ruim duizend Android-apps kwetsbaar door Heartbleed-bug'

woensdag 23 april 2014, 10:58 door Redactie, 1 reacties
Laatst bijgewerkt: 23-04-2014, 13:11

Er zijn nog ruim duizend Android-apps op Google Play die kwetsbaar voor de Heartbleed-bug in OpenSSL zijn. Dat stelt het Amerikaanse beveiligingsbedrijf FireEye. Via de bug kan een aanvaller vertrouwelijke informatie uit het geheugen van webservers halen.

Het omgekeerde scenario is echter ook mogelijk. Een kwaadaardige server kan namelijk het Heartbleed-signaal naar kwetsbare clients sturen en zo gevoelige informatie stelen. FireEye analyseerde meer dan 54.000 Android-apps op Google Play en ontdekte begin april ruim 2.000 apps die de kwetsbare versie van OpenSSL gebruikten.

Zelfs als het Android-platform niet kwetsbaar is, kunnen aanvallers nog steeds deze kwetsbare apps aanvallen. Zo is het mogelijk om het netwerkverkeer te kapen en de app met een kwaadaardige server verbinding te laten maken en vervolgens het Heartbleed-signaal naar de app te sturen en zo de inhoud van het geheugen te stelen.

De kwetsbare apps zouden bij elkaar zo'n 220 miljoen keer zijn gedownload. Een aantal van de getroffen app-ontwikkelaars werd door FireEye ingelicht, waarna er updates zijn verschenen. Dit zorgde ervoor dat het aantal kwetsbare apps naar 1500 afnam. Aangezien het om een kleine steekproef van het totaal aantal Android-apps gaat bestaat de mogelijkheid dat het probleem bij veel meer apps speelt.

Reacties (1)
23-04-2014, 11:43 door Anoniem
Uit het oorspronkelijke artikel:
On April 10th, we scanned more than 54K Google Play apps (each with over 100K downloads) and found that there were at least 220 million downloads affected by the Heartbleed vulnerability.

Dat betekent dat er geen 54000 android-apps kwetsbaar zijn, maar hooguit 2200.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.