Onderzoek: zwakke encryptie in populaire Android-apps
Veel van de populaire gratis Android-apps in de Google Play store gebruiken zwakke encryptie voor het beschermen van gevoelige informatie. Dat beweert het Amerikaanse beveiligingsbedrijf FireEye dat 9339 apps met meer dan 1 miljoen downloads analyseerde. Daarvan bleken er 8261 een cryptografische functionaliteit van het Android-platform te gebruiken. Van deze 8261 apps bleken weer 5147 apps (62%) één of meerdere cryptografische kwetsbaarheden te bevatten.
Het gaat dan bijvoorbeeld om het gebruik van statische sleutels voor de encryptie. Deze sleutels kunnen uit de app worden gehaald en om vervolgens de gegevens te ontsleutelen. Dit was bij 21% van de apps het geval. Verder bleek 58% een zwak encryptiealgoritme te gebruiken waardoor de apps voor bepaalde aanvallen kwetsbaar zijn. Voor een handvol apps werd daarnaast een aanval ontwikkeld. Eén van deze apps accepteerde alle voorgeschotelde SSL-certificaten, waardoor aanvallers een Man-in-the-Middle-aanval kunnen uitvoeren.
Volgens de onderzoekers zijn cryptografische kwetsbaarheden een serieuze dreiging, omdat ze de effectiviteit van andere aanvallen versterken. Via het verkeerd gebruik van SSL zou een aanvaller bijvoorbeeld gevoelige informatie kunnen onderscheppen. "Dit probleem wordt vergroot door root-exploits waarbij een aanvaller een toestel kan rooten, bepalen welke apps geïnstalleerd zijn om willekeurige data voor offline decryptie te versturen", besluit onderzoeker Adrian Mettler.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.