1500 iOS-apps kwetsbaar voor MitM-aanvallen
Zo'n 1500 applicaties voor de iPhone en iPad bevatten een kwetsbaarheid waardoor een aanvaller die zich tussen een gebruiker en het internet bevindt het versleutelde SSL-verkeer van de app kan onderscheppen en ontsleutelen. Het lek is aanwezig in de AFNetworking library die deze applicaties gebruiken en zorgt ervoor dat SSL-certificaten niet goed worden gecontroleerd.
De AFNetworking library is een populaire library voor app-ontwikkelaars en voegt netwerkmogelijkheden aan de app toe. De kwetsbaarheid werd op 26 maart van dit jaar gepatcht, maar uit onderzoek van SourceDNA blijkt dat nog zo'n 1500 apps een kwetsbare versie van de library gebruiken. Onderzoekers van Minded Security waarschuwden eind maart al voor het probleem en stellen dat ze tijdens een test al het kwetsbare SSL-verkeer wisten te onderscheppen via een proxy zoals de Burp Suite.
Volgens SourceDNA is het probleem inmiddels wel gepatcht, maar weten veel app-ontwikkelaars niet van het probleem en blijven kwetsbare updates voor hun apps uitbrengen. Het bedrijf zette deze website online waarmee gebruikers kunnen kijken of er op hun toestel apps zijn geïnstalleerd die kwetsbaar zijn.
* vlag uit hangen *
* vlag uit hangen *
Het gaat om apps van DERDEN... dus Apple is gewoon veilig.
* vlag uit hangen *
Het gaat om apps van DERDEN... dus Apple is gewoon veilig.
Keep dreaming
Ergo, ontwikkelaars moeten hun eigen ontwikkelsoftware updaten.
Als ze dat niet doen zou Apple ervoor kunnen kiezen een blokkade voor deze apps op te leggen, dan is de wereld weer te klein natuurlijk.
Vermoedelijk ziet Apple het nog even aan.
* vlag uit hangen *
Het gaat om apps van DERDEN... dus Apple is gewoon veilig.
Keep dreaming
Door app's in je winkel te zetten die alleen maar op je eigen OS of eigen Hardware draaien heb je een hoge verantwoordelijkheid die je niet kan afschuiven.
Voorbeeld: als een winkel levensmiddelen verkoopt waarvan hij niet weet of de producent een controle doet op salmonella of andere beestjes, dan is de winkel ook fout bezig.
Man, loop niet te kliermieren :
- De kwetsbaarheid is gepatcht.
- Een securitybedrijf meldt 4 weken geleden dat niet alle developers dat doorhebben en hun updates niet hebben gedaan.
- Een ander securitybedrijf ziet de dubbele kans schoon om met het nieuws zelf iets te doen, waaronder zelf de publiciteit halen.
- Dat laatste securitybedrijf gooit het nieuws plus een website op 20/22 april online en haalt daarmee de pers.
Jij verwacht dat Apple daar direct op reageert?
Apple wordt dagelijks en al jaren van alle kanten bestookt door bedrijven die iets vinden van Apple of eventueel vinden bij Apple.
Apple laat zich overduidelijk nooit opjagen door perszoekers, sterker ze laat zich nergens over uit.
Of deze totale stilte nou een nadeel of een voordeel is, daar kan je nog over discussieren.
In ieder geval is de verwachting misschien wat eenzijdig en hoog om van Apple te verwachten dat ze alle app's nu gaat testen op alle mogelijke kwetsbaarheden, alle apps gaat testen op onderdelen om te zien of die allemaal wel up to date zijn?
Wellicht een beetje een al te enthousiaste malle Pietje veronderstelling om dat pro actief op alle software toe te passen, hoewel er wel al vooraf een check plaats vindt zal je die niet 100 % dicht krijgen, om nog maar te zwijgen van de tijdsinvestering die dat gaat kosten. (Of je salmonella vergelijking opgaat is maar zeer de vraag maar gaat voorbij aan iets anders, eigen verantwoordelijkheid).
Eigen verantwoordelijkheid nemen : Developers horen zelf meer gezonde aandacht voor security te hebben.
Te beginnen met veilige software gebruiken.
Simpel.
Al lang geleden voor gewaarschuwd, ook hier :
https://www.security.nl/posting/40182/App-explosie+is+achilleshiel+smartphone
Als het uit de hand loopt kan Apple inderdaad ingrijpen door app's te gaan controleren op dit probleem en ze te gaan weigeren.
Niet geheel onbegrijpelijk van Apple dat ze niet direct hiertoe overgaan (is het waarschijnlijk ook niet goed).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.