'Veel populaire Chinese apps gebruiken eigen crypto in plaats van TLS'
Een groot deel van de populaire Chinese apps maakt gebruik van eigen crypto voor het beveiligen van netwerkverkeer in plaats van TLS (Transport Layer Security), wat de standaard hiervoor is. Dat stellen onderzoekers van Princeton University en Citizen Lab op basis van eigen onderzoek. Voor het onderzoek keken de onderzoekers naar de populairste apps uit de Mi Store en Google Play Store.
Van de 817 populairste apps uit de Mi Store bleek bijna 48 procent een eigen oplossing voor het beveiligen van netwerkverkeer te gebruiken, of een door een derde partij ontwikkeld protocol, zonder verdere encryptie. Bij de Google Play Store lag dit een stuk lager. Van de 882 onderzochte apps gebruikte 3,5 procent 'proprietary network cryptography' zonder aanvullende versleuteling. Daarnaast blijken veel apps uit de Mi Store onversleutelde requests te versturen. Bij meer dan 65 procent van de onderzochte apps was dit het geval, tegenover 13 procent van de apps in de Google Play Store.
De onderzoekers keken ook naar de gebruikte protocolfamilies die de apps in plaats van TLS gebruiken. Het gaat in totaal om negen verschillende protocolfamilies, ontwikkeld door partijen als Alibaba, iQIYI, Kuaishou en Tencent. Acht van de negen families verstuurt of ontvangt netwerkverkeer dat door een aanvaller op het netwerk is te ontsleutelen. "Ondanks de groeiende trend naar TLS overal, laat ons onderzoek zien dat een groot aantal populaire applicaties ontwikkeld door grote, rijke bedrijven van onveilige encryptie gebruik blijft maken om gevoelige gebruikersdata te versturen", concluderen de onderzoekers.
Dat klinkt als "Je doet het niet zoals ik het wil dus is het fout".
Dat klinkt als "Je doet het niet zoals ik het wil dus is het fout".
Dus ja, eigen encryptie uitvinden is vaak onveilig.
Maar ik vermoed dat deze beveiligingen goed door de Chinese overheid te ontsleutelen zijn... en dat is waarschijnlijk de ware reden.
TheYOSH
Dat klinkt als "Je doet het niet zoals ik het wil dus is het fout".
Dus ja, eigen encryptie uitvinden is vaak onveilig.
Maar ik vermoed dat deze beveiligingen goed door de Chinese overheid te ontsleutelen zijn... en dat is waarschijnlijk de ware reden.
TheYOSH
TLS is ook een eigen vinding van iemand, dus dat is volgens jouw definitie ook niet veilig.
Zoals het staat omschreven lijkt het er eerder op dat de onderzoeker liever TLS heeft omdat hij dat kan ontsleutelen. Het is maar hoe je het bekijkt.
Je vermoeden is slechts een vermoeden gebaseerd op, ja op wat eigenlijk?
PDF link: https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/26hiVQjbZqE/pdf
Ik vraag me af of de kwetsbaarheid van deze encryptievarianten komt door overheidsverplichtingen?
PDF link: https://www.computer.org/csdl/pds/api/csdl/proceedings/download-article/26hiVQjbZqE/pdf
Ik vraag me af of de kwetsbaarheid van deze encryptievarianten komt door overheidsverplichtingen?
Ik betwijfel het.
Als je kijkt naar onzettend veel Chinese producten is het - zo snel/makkelijk/goedkoop mogelijk .
Dat een development team/bedrijf dan voor iets waarvan het falen amper te merken is ook doet in software lijkt me dan al een afdoende verklaring .
Waarschijnlijk is de 'eigen' methode op de een of andere manier makkelijk (of goedkoper) voor het bedrijf - misschien iets zonder expiry, misschien dat het "mogen" aanbieden van een service met TLS meer burocratische hoepels (bedrijfsintern of overheid) vergt .
Bovendien, al is de encryptie nog zo goed: de kunst is het om AitM (Attacker in the Middle) aanvallen in de praktijk onmogelijk te maken.
Omdat een pre-shared key verstopt in een app altijd gevonden kan worden, is ook dat geen optie (naast dat je dan geen forward secrecy hebt).
Om AitM's te voorkómen, ontkom je nauwelijks of niet aan een 1) secure key agreement en 2) authenticatie van de server - die eerste truc nog vóórdat er überhaupt gebruik wordt gemaakt van (symmetrische) encryptie.
Zie https://security.nl/posting/884774 voor meer info.
Dat klinkt als "Je doet het niet zoals ik het wil dus is het fout".
Dus ja, eigen encryptie uitvinden is vaak onveilig.
Maar ik vermoed dat deze beveiligingen goed door de Chinese overheid te ontsleutelen zijn... en dat is waarschijnlijk de ware reden.
TheYOSH
Is TLS geen eigen uitvinding van de mens mee ?
Maar wel over TLS links.
de encriptiedie proprietary is betreft geheime E2E berichten binnen het platform.
(Afgezonderd van het uitvinden van een asymmetrische encryptie.)
Natuurlijk ben ik óók benieuwd of mijn zelfverzekerdheid daadwerkelijk vertaald in onkraakbaarheid...
De makers van deze PNC's hadden waarschijnlijk dezelfde soort zelfverzekerdheid, ten onterechte, blijkbaar.
Als ik wat neer zou zetten, hoe lek zou dat dan zijn? Als een vergiet, zeef, waterballon of emmer?
Geen flauw benul. Misschien bak je er niks van, misschien ben je briljant. Hoe zou iemand hier een antwoord moeten geven op jouw vraag.
Op basis waarvan is die zelfverzekerdheid. Mensen die dat kunnen zijn zeldzaam. En de meeste veilige crypto heeft ook al tal van updates gehad, om de veiligheid te verbeteren.
Zou het kunnen zijn dat op hun ecosysteem dit niet speelt?
https://support.apple.com/nl-nl/guide/security/sec100a75d12/web
Ik denk dat ik het gewoon een keer moet proberen en zien wat er uit komt...
Het zal vast zo lek zijn als een mandje, maar daar leert men van, zeggen we dan.
(Afgezonderd van het uitvinden van een asymmetrische encryptie.)
Natuurlijk ben ik óók benieuwd of mijn zelfverzekerdheid daadwerkelijk vertaald in onkraakbaarheid...
De makers van deze PNC's hadden waarschijnlijk dezelfde soort zelfverzekerdheid, ten onterechte, blijkbaar.
Als ik wat neer zou zetten, hoe lek zou dat dan zijn? Als een vergiet, zeef, waterballon of emmer?
Zo lang je te weinig wiskundige achtergrond hebt en te weinig weet over kraakmethodieken denk ik dat je op het niveau van een zeef of erger uit komt.
Ik denk dat ik het gewoon een keer moet proberen en zien wat er uit komt...
Het zal vast zo lek zijn als een mandje, maar daar leert men van, zeggen we dan.
Vooral ego.
Het lastige is - in tegenstelling tot een hoop andere zaken kun je "slechte crypto" amper herkennen , zodra die het padvinders-nivo ontstegen is.
En tijd en expertise van het kleine aantal mensen dat zwakheden kan herkennen (of lastiger : ontdekken) is ontzettend schaars.
Alleen maar op een forum roepen "wie gaat mijn werk testen" levert je, op z'n best, commentaar op van andere amateurs .
Degenen die echt wat kunnen hebben hun werk (of hun uitdaging, of hun reputatie) in het onderzoeken van crypto met enige waarde. Voor academische research/publicatie - scoren tegen een standaard algorithme telt. Een amateur-poging afbreken niet. Een vulnerability vinden en benutten van malware is ook de tijd en moeite waard , van security bedrijven.
Leren van 'zelf eens wat bouwen' is dus ontzettend moeilijk - omdat de feedback wat je goed of fout deed ontbreekt.
Het standaard advies voor beginners is (dus) - begin met het onderzoeken/aanvallen van andere implementaties.
Zelf zwakheden vinden is waar je van leert - wat te vermijden. Wanneer je echt verder gaat , is het opbouwen van een reputatie (doordat je allerlei analyses gepubliceerd hebt , zwakheden gevonden ) nuttig. En als je dan met _die_ basis je eigen protocol publiceert - ben je wel de tijd van andere experts waard .
Nog steeds relevant:
https://www.schneier.com/crypto-gram/archives/1998/1015.html#cipherdesign
(het geldt trouwens ook voor protocol design, om dezelfde redenen )
Of bedoel je met 'crypto suite' een library/module met _implementaties_ van standaard algorithmen en protocollen ?
Dat is wat meer haalbaar , hoewel ook daar veel valkuilen kunnen liggen.
Interessante informatie, zeker ook de tekst achter die link was leuk om te lezen.
Bedankt voor het tijd nemen om te reageren!
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Online Tech event @Rijksoverheid #security
Benieuwd hoe het is om als securityspecialist bij de Rijksoverheid te werken? Tijdens dit online event op 2 juni hoor je hoe security-specialisten bijdragen aan de veiligheid van Nederland, wat hun werk inhoudt en welke vacatures er zijn. Meld je aan voor een gratis ticket.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?