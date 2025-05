Een groot deel van de populaire Chinese apps maakt gebruik van eigen crypto voor het beveiligen van netwerkverkeer in plaats van TLS (Transport Layer Security), wat de standaard hiervoor is. Dat stellen onderzoekers van Princeton University en Citizen Lab op basis van eigen onderzoek (pdf). Voor het onderzoek keken de onderzoekers naar de populairste apps uit de Mi Store en Google Play Store.

Van de 817 populairste apps uit de Mi Store bleek bijna 48 procent een eigen oplossing voor het beveiligen van netwerkverkeer te gebruiken, of een door een derde partij ontwikkeld protocol, zonder verdere encryptie. Bij de Google Play Store lag dit een stuk lager. Van de 882 onderzochte apps gebruikte 3,5 procent 'proprietary network cryptography' zonder aanvullende versleuteling. Daarnaast blijken veel apps uit de Mi Store onversleutelde requests te versturen. Bij meer dan 65 procent van de onderzochte apps was dit het geval, tegenover 13 procent van de apps in de Google Play Store.

De onderzoekers keken ook naar de gebruikte protocolfamilies die de apps in plaats van TLS gebruiken. Het gaat in totaal om negen verschillende protocolfamilies, ontwikkeld door partijen als Alibaba, iQIYI, Kuaishou en Tencent. Acht van de negen families verstuurt of ontvangt netwerkverkeer dat door een aanvaller op het netwerk is te ontsleutelen. "Ondanks de groeiende trend naar TLS overal, laat ons onderzoek zien dat een groot aantal populaire applicaties ontwikkeld door grote, rijke bedrijven van onveilige encryptie gebruik blijft maken om gevoelige gebruikersdata te versturen", concluderen de onderzoekers.