17 feb. 1999
2 minuten
Veel populaire Android apps, waaronder die van banken, uitgevers en andere grote organisaties, hebben enorme beveiligingsproblemen. Dit is de conclusie van onderzoekers van het Fraunhofer Institute for Secure Information Technology in Darmstadt, Duitsland (Fraunhofer SIT). Door gebruik te maken van zwaktes in de manier waarop het Secure Sockets Layer (SSL)-protocol wordt gebruikt, kunnen aanvallers gevoelige toegangsgegevens stelen, bijvoorbeeld gebruikersnamen en wachtwoorden
Fraunhofer SIT stelde meer dan 30 getroffen app-producenten op de hoogte, en tot nu toe hebben 16 hiervan het beveiligingsgat gesloten. Onder hen bevinden zich Amazon, Yahoo, Google en Volkswagen Bank. Een lijst met alle apps met beveiligingsupdates is te vinden op https://www.sit.fraunhofer.de/en/appsecuritylist/.
Het veiligheidsrisico voor de gebruiker hangt af van de specifieke app: met sommige apps lopen mogelijk alleen persoonlijke foto’s gevaar, maar met bank-apps kunnen toegangsgegevens worden gebruikt voor ongeoorloofde overschrijvingen. Een bijzonder ernstig risico kan zich voordoen als apps gebruik maken van de Single Sign-On-services van Google of Microsoft. In deze gevallen worden toegangsgegevens gebruikt voor een verscheidenheid aan diensten, zoals e-mail en opslag in de cloud.
Het beveiligingslek ontstaat door een onjuist gebruik van SSL. SSL beschermt cryptografisch de verbinding tussen apps en servers. Deze bescherming is gebaseerd op zogenoemde public-key-certificaten. Bij ontvangst van een certificaat worden apps verondersteld om te verifiëren dat het daadwerkelijk behoort tot de server waarmee ze willen communiceren. De onderzoekers kwamen erachter dat in de genoemde apps deze verificatie niet goed wordt uitgevoerd.
Klein foutje, grote gevolgen
"Vanuit technisch perspectief is dit een klein foutje. Maar het kan een enorme impact hebben op de veiligheid," aldus dr. Jens Heider van Fraunhofer SIT. Een aanvaller hoeft bijvoorbeeld alleen maar de communicatie te manipuleren die plaatsvindt terwijl het slachtoffer surft via een onbeveiligde WLAN, bijv. op een vliegveld of in een restaurant. Juist in deze situaties moet de SSL-encryptie zorgen voor veilige communicatie.
"In principe is de kwetsbaarheid bijzonder eenvoudig op te lossen," verklaart Heider. Met zijn team heeft hij de app-makers enkele weken geleden al op de hoogte gesteld en verzocht om het zwaktepunt te repareren. Het team heeft daarna iedere nieuwe update opnieuw gecontroleerd. "Gebruikers moeten ervoor zorgen dat ze hun apps altijd updaten naar de nieuwste versie," raadt Heider aan. In het algemeen adviseren de Fraunhofer-experts om apps in een openbare WLAN-omgeving met de grootste voorzichtigheid te gebruiken.
Appicaptor
De kwetsbaarheid werd ontdekt tijdens de proeffase van een nieuw testframework van Fraunhofer SIT, ‘Appicaptor’, dat de beveiliging van apps automatisch test. Fraunhofer SIT testte in totaal 2000 Android apps.
Anderen lazen ook
