Honderden Android apps blijken het gebruikte SSL-certificaat niet te controleren, waardoor gebruikers het risico lopen om via een Man-in-the-Middle-aanval te worden aangevallen. Dat meldt het CERT Coordination Center (CERT-CC) van de Carnegie Mellon Universiteit.

De apps gebruiken een SSL-certificaat om het verkeer tussen de app en server te versleutelen. Het certificaat van de server wordt echter niet gecontroleerd. Een aanvaller die zich tussen de gebruiker en server kan plaatsen, kan vervolgens via een vals certificaat het verkeer onderscheppen en zo bekijken. In het verleden is er regelmatig voor dit probleem bij Android apps gewaarschuwd.

Onderzoek

Onlangs presenteerde Will Dormann van het CERT-CC een tool waarmee de SSL-controle van Android apps kan worden onderzocht. Deze tool, Tapioca (Transparent Proxy Capture Appliance), is nu ook zelf door Dormann ingezet voor het analyseren van Android apps. "De Google Play Store heeft op het moment 1,3 miljoen apps, waarvan ongeveer 1 miljoen gratis. Het duurt ongeveer 60 seconden om elke app te testen", aldus Dormann.

Hij merkt op dat als zijn berekening klopt, het iets meer dan 8 jaar kost om alle gratis Android apps te testen, ervan uitgaande dat hij 40 uur per week en 52 weken per jaar hiermee aan de slag gaat. Daarom besloot Dormann een geautomatiseerde test te ontwikkelen en uiteindelijk ook in te zetten.

Het gaat hier om een doorlopend onderzoek, maar de eerste resultaten laten 344 apps zien die niet door de automatische controle heen kwamen. In tegenstelling tot eerdere onderzoeken naar dit probleem vermeldt het CERT-CC wel de kwetsbare Android apps. Daarnaast worden ook de verantwoordelijke ontwikkelaars ingelicht. In de lijst komen veel spellen voor, maar ook applicaties van bekende partijen zoals Pizza Hut, uTorrent, Microsoft, Cisco en Kaspersky.