image

Veel gratis Android apps controleerden SSL-certificaten niet

woensdag 20 augustus 2014, 17:33 door Redactie, 2 reacties

Veel gratis Android apps controleerden bij het opzetten van een versleutelde verbinding de gebruikte SSL-certificaten niet, waardoor gebruikers kwetsbaar voor Man-in-the-Middle-aanvallen waren. Dat stelt IT-beveiliger FireEye aan de hand van de 1.000 meest gedownloade gratis Android apps op Google Play.

Van de 1.000 onderzochte apps bleek dat 674 er tenminste één van drie SSL-kwetsbaarheden bevatte. Het gaat dan met name om het niet controleren van aangeboden SSL-certificaten. Van de 614 apps die een SSL/TLS-certificaat gebruikten om met een remote server te communiceren, controleerden er 448 (73%) niet het gebruikte certificaat. Verder bleek dat 50 apps (8%) de hostnaam niet controleerden en negeerden 285 apps SSL-fouten die van de Webkit-engine afkomstig waren. Na te zijn ingelicht zouden alle ontwikkelaars de gevonden problemen hebben opgelost.

Hetzelfde onderzoek werd ook uitgebreid naar 10.000 apps in Google Play. Het ging hier om een willekeurige verzameling van gratis apps. Zo'n 4.000 apps (40%) controleerden de servercertificaten niet, waardoor een aanvaller de gegevens zou kunnen onderscheppen via een Man-in-the-Middle-aanval. Verder bleek dat 750 apps (7%) de hostnaam niet controleerden. Hierdoor hebben de apps het niet door als een aanvaller een verzoek van de app naar zijn eigen server doorstuurt. Verder bleek dat 1300 apps (13%) geen SSL-fouten controleerden bij het gebruik van Webkit.

Reacties (2)
21-08-2014, 18:13 door Anoniem
Waarom moet elke software-ontwikkelaar het wiel weer opnieuw uitvinden, dan krijg je dit. Men wil een app maken, geen SSL guru worden.
22-08-2014, 12:01 door Anoniem
Ik heb een tijdje geleden een test gedaan met de Triodos Bankieren app onder Android. De data die je ziet is weliswaar versleuteld, maar met Fiddler kun je meelezen wat er wordt verzonden. Het certificaat wordt dus niet gecheckt. De app accepteert de Fiddler CA.

Bij de Rabobank app bijvoorbeeld kan dat niet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.