De beveiliging van de populairste reis-apps voor zowel Android als iOS schiet ernstig tekort, zo blijkt uit onderzoek van Bluebox. Reis-apps zijn door de jaren heen flink veranderd en bieden tegenwoordig allerlei opties, zoals het boeken van vluchten en hotels. Nu deze apps geavanceerdere opties krijgen zorgt dit voor nieuwe beveiligingsrisico's en wordt het aanvalsoppervlak vergroot.

Voor het onderzoek keek Bluebox naar de tien populairste reis-apps voor zowel Android als iOS. Slechts één van de tien Android-apps bleek 'data at rest' op het toestel te versleutelen, terwijl geen enkele van de iOS-apps dit deed. Verder bleek dat twee van de tien Android-apps en één van de tien iOS-apps certificaatpinning gebruikt. Certificaatpinning zorgt ervoor dat een app het certificaat van de server controleert, zodat er met de juiste server wordt gecommuniceerd. Dit moet man-in-the-middle-aanvallen voorkomen.

Volgens de onderzoekers is het een best practice om certificaatpinning in de app te integreren, maar blijken de ontwikkelaars van reis-apps dit niet te doen. Zelfs bij de drie apps die de techniek wel toepassen blijkt dat het alleen voor een deel van de netwerkverbinding wordt gebruikt, zodat de rest van verbindingen onbeschermd is. Verder blijkt dat de meest reis-apps met code van andere ontwikkelaars zijn gemaakt en niet 'in-house' zijn ontwikkeld. Dit vergroot het aanvalsoppervlak.

De onderzoekers concluderen dat de beveiliging van mobiele apps nog in de kinderschoenen staat en reis-apps met name de beveiliging moeten aanscherpen. Consumenten die dit soort apps gebruiken krijgen het advies om alleen apps via Google Play of de Apple App Store te downloaden, de meest recente versie van besturingssysteem en app te gebruiken, voorzichtig te zijn met het gebruik van openbare wifi-netwerken en niet vertrouwde certificaatautoriteiten uit te schakelen.