'Veel populaire Chinese apps gebruiken eigen crypto in plaats van TLS'
Een groot deel van de populaire Chinese apps maakt gebruik van eigen crypto voor het beveiligen van netwerkverkeer in plaats van TLS (Transport Layer Security), wat de standaard hiervoor is. Dat stellen onderzoekers van Princeton University en Citizen Lab op basis van eigen onderzoek. Voor het onderzoek keken de onderzoekers naar de populairste apps uit de Mi Store en Google Play Store.
Van de 817 populairste apps uit de Mi Store bleek bijna 48 procent een eigen oplossing voor het beveiligen van netwerkverkeer te gebruiken, of een door een derde partij ontwikkeld protocol, zonder verdere encryptie. Bij de Google Play Store lag dit een stuk lager. Van de 882 onderzochte apps gebruikte 3,5 procent 'proprietary network cryptography' zonder aanvullende versleuteling. Daarnaast blijken veel apps uit de Mi Store onversleutelde requests te versturen. Bij meer dan 65 procent van de onderzochte apps was dit het geval, tegenover 13 procent van de apps in de Google Play Store.
De onderzoekers keken ook naar de gebruikte protocolfamilies die de apps in plaats van TLS gebruiken. Het gaat in totaal om negen verschillende protocolfamilies, ontwikkeld door partijen als Alibaba, iQIYI, Kuaishou en Tencent. Acht van de negen families verstuurt of ontvangt netwerkverkeer dat door een aanvaller op het netwerk is te ontsleutelen. "Ondanks de groeiende trend naar TLS overal, laat ons onderzoek zien dat een groot aantal populaire applicaties ontwikkeld door grote, rijke bedrijven van onveilige encryptie gebruik blijft maken om gevoelige gebruikersdata te versturen", concluderen de onderzoekers.
Dat klinkt als "Je doet het niet zoals ik het wil dus is het fout".
Dat klinkt als "Je doet het niet zoals ik het wil dus is het fout".
Dus ja, eigen encryptie uitvinden is vaak onveilig.
Maar ik vermoed dat deze beveiligingen goed door de Chinese overheid te ontsleutelen zijn... en dat is waarschijnlijk de ware reden.
TheYOSH
Dat klinkt als "Je doet het niet zoals ik het wil dus is het fout".
Dus ja, eigen encryptie uitvinden is vaak onveilig.
Maar ik vermoed dat deze beveiligingen goed door de Chinese overheid te ontsleutelen zijn... en dat is waarschijnlijk de ware reden.
TheYOSH
TLS is ook een eigen vinding van iemand, dus dat is volgens jouw definitie ook niet veilig.
Zoals het staat omschreven lijkt het er eerder op dat de onderzoeker liever TLS heeft omdat hij dat kan ontsleutelen. Het is maar hoe je het bekijkt.
Je vermoeden is slechts een vermoeden gebaseerd op, ja op wat eigenlijk?
PDF link: https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/26hiVQjbZqE/pdf
Ik vraag me af of de kwetsbaarheid van deze encryptievarianten komt door overheidsverplichtingen?
PDF link: https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/26hiVQjbZqE/pdf
Ik vraag me af of de kwetsbaarheid van deze encryptievarianten komt door overheidsverplichtingen?
Ik betwijfel het.
Als je kijkt naar onzettend veel Chinese producten is het - zo snel/makkelijk/goedkoop mogelijk .
Dat een development team/bedrijf dan voor iets waarvan het falen amper te merken is ook doet in software lijkt me dan al een afdoende verklaring .
Waarschijnlijk is de 'eigen' methode op de een of andere manier makkelijk (of goedkoper) voor het bedrijf - misschien iets zonder expiry, misschien dat het "mogen" aanbieden van een service met TLS meer burocratische hoepels (bedrijfsintern of overheid) vergt .
Bovendien, al is de encryptie nog zo goed: de kunst is het om AitM (Attacker in the Middle) aanvallen in de praktijk onmogelijk te maken.
Omdat een pre-shared key verstopt in een app altijd gevonden kan worden, is ook dat geen optie (naast dat je dan geen forward secrecy hebt).
Om AitM's te voorkómen, ontkom je nauwelijks of niet aan een 1) secure key agreement en 2) authenticatie van de server - die eerste truc nog vóórdat er überhaupt gebruik wordt gemaakt van (symmetrische) encryptie.
Zie https://security.nl/posting/884774 voor meer info.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?