Populaire beurs-app lekt wachtwoord en andere data via http
Een populaire beurs-app voor Android en iOS met 2,4 miljoen dagelijkse gebruikers blijkt gevoelige gegevens zoals wachtwoorden, ingenomen posities en andere data niet te versleutelen, waardoor aanvallers die kunnen onderscheppen of manipuleren en een oplossing is nog niet voorhanden.
Het gaat om de beurs-app SeekingAlpha, een online gemeenschap waar beleggers informatie over de aandelenmarkt uitwisselen. Gebruikers kunnen een lijst van aandelen kiezen waarvoor ze allerlei updates wensen te ontvangen. Naast nieuws over het koersverloop, bedrijfscijfers en verslagen worden er ook updates verstuurd wanneer een SeekingAlpha-auteur een artikel heeft geschreven dat op de geselecteerde portefeuille betrekking heeft.
De app blijkt geen versleuteling toe te passen. Zelfs het inloggen gaat via het onversleutelde http. Een aanvaller in een "bevoorrechte positie" op het netwerk waar ook de SeekingAlpha-gebruiker gebruik van maakt, kan zo het verkeer van de app onderscheppen, bekijken en manipuleren. De kwetsbaarheid werd door beveiligingsbedrijf Rapid7 ontdekt, dat SeekingAlpha begin mei via e-mail informeerde. Twee weken later werd het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit ingelicht.
Vandaag maakte het beveiligingsbedrijf de kwetsbaarheid bekend, ook al is er nog geen update beschikbaar. Gebruikers krijgen het advies om de app, totdat er een update is uitgekomen, niet te gebruiken wanneer ze zich op onbetrouwbare netwerken bevinden. Een vpn kan het risico van een aanvaller op publieke netwerken voorkomen, maar in dit geval is het verkeer alleen tot de vpn-server versleuteld.
Van dit soort fouten heb je er 13 in een dozijn. Het is slordig maar voor iemand dit kan uitbuiten moet je als crimineel man in the middle zien te worden op het verkeer (waardoor je leukere dingen kan doen dan dit verkeer onderscheppen of manipuleren), of de gebruiker heeft al geen kaas gegeten van beveiliging en maakt gebruik van een zeer slecht tot niet beveiligd netwerk (waar een crimineel ook wel wat leukere dingen kan doen dan dit verkeer onderscheppen of manipuleren).
Goed dat ze het melden, maar in onder meer Nederland zijn er securitybedrijven die waslijsten bijhouden met zelf gevonden apps met dit soort domme beveiligingsblunders en nog veel erger. Genoeg ontwikkelaars die geen kaas gegeten hebben van veilig ontwikkelen en niet open staan voor verbetering. En dus blijven die lekken in de software zitten en worden niet publiek bekend gemaakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.