Populaire iOS-apps kwetsbaar voor man-in-the-middle-aanvallen
Tientallen populaire iOS-apps zijn kwetsbaar voor man-in-the-middle-aanvallen waardoor aanvallers in bepaalde gevallen vertrouwelijke informatie zoals gebruikersnamen en wachtwoorden kunnen stelen. Dat claimen onderzoekers van beveiligingsbedrijf Verify.ly in een blogpost op Medium.
De verbinding tussen de apps en gebruikers is wel versleuteld, maar de apps blijken aangeboden certificaten niet goed te controleren. Daardoor is het mogelijk voor een aanvaller die zich tussen de gebruiker en het internet bevindt om stilletjes een man-in-the-middle aanval uit te voeren. In totaal werden 76 populaire iOS-apps ontdekt die kwetsbaar zijn. Bij 24 apps bleken er wachtwoorden en sessietokens van ingelogde gebruikers te worden verstuurd die te onderscheppen zijn. 19 andere kwetsbare apps versturen inloggegevens voor financiële en medische diensten die te onderscheppen zijn.
Het grootste risico doet zich voor als gebruikers verbinding met een openbaar wifi-netwerk maken of een aanvaller hun toestel verbinding met een kwaadaardig wifi-netwerk laat maken. De onderzoekers hebben nu de namen van 33 kwetsbare apps bekendgemaakt. Bij deze apps is het risico volgens de onderzoekers beperkt omdat er niet al te gevoelige gegevens worden uitgewisseld. Het gaat onder andere om Cheetah Browser, Private Browser, CashApp, Tencent Cloud, Uploader for Snapchat en Uconnect Access. De namen van de overige apps zullen later pas online verschijnen als de betreffende banken en medische dienstverleners zijn ingelicht.
Dus een OpenVPN connectie naar mijn eigen server en dan pas een APP starten.
Dus een OpenVPN connectie naar mijn eigen server en dan pas een APP starten.
En dat is uiteraard een garantie voor veilig browsen? Of toch niet?
https://tweakers.net/nieuws/120613/onderzoek-veel-gratis-vpn-apps-voor-android-waarborgen-privacy-niet.html
Dus een OpenVPN connectie naar mijn eigen server en dan pas een APP starten.
En dat is uiteraard een garantie voor veilig browsen? Of toch niet?
https://tweakers.net/nieuws/120613/onderzoek-veel-gratis-vpn-apps-voor-android-waarborgen-privacy-niet.html
Het gaat in het artikel over iOS èn ik noem expliciet OpenVPN met een connectie naar een eigen server dus bovenstaande link aanhalen heeft m.i. niet heel veel toegevoegde waarde.
Nee, het is geen garantie maar het is wel een extra laag er tussen en beschermd me wel voor het grootste gevaar namelijk een "rogue Wi-Fi provider" of iemand die op het zelfde WIFI netwerk zit dan ik. Tegen een rotte ISP kan ik me al helemaal niet beschermen die kan in theorie altijd als een m.i.t. er tussen gaan zitten.
Trouwens op de wifi en binnen mijn eigen netwerk gebruik ik ook altijd een vpn verbinding.
Trouwens op de wifi en binnen mijn eigen netwerk gebruik ik ook altijd een vpn verbinding.
Knap dat je nu al weet dat er geen apps tussen zitten die jij gebruikt. Er zijn namelijk pas 33 apps bekend gemaakt van de 76 gevonden apps.
Trouwens op de wifi en binnen mijn eigen netwerk gebruik ik ook altijd een vpn verbinding.
Knap dat je nu al weet dat er geen apps tussen zitten die jij gebruikt. Er zijn namelijk pas 33 apps bekend gemaakt van de 76 gevonden apps.
Van de gecontroleerde apps, er van uit gaan dat niet alle iOS-apps uit de app-store gecontroleerd zijn. ;)
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.