De Yahoo Mail-app voor Android gebruikt standaard geen versleuteling, waardoor gebruikers op een openbaar WiFi-netwerk zeer kwetsbaar voor kwaadwillenden zijn. Volgens mobiele beveiliger Lookout verloopt alle communicatie via HTTP in plaats van HTTPS. Al het verkeer van de Yahoo Mail-app is daardoor eenvoudig op onbeveiligde draadloze netwerken te onderscheppen.
Spam
Via session hijacking kunnen aanvallers zich als de gebruiker voordoen en bijvoorbeeld spamberichten in zijn naam versturen. Mogelijk is dit het lek wat spammers gebruikten om via Android-toestellen Viagra-spam te versturen.
"We denken dat het een zeer aannemelijke verklaring is voor het onlangs gerapporteerde sms spambotnet waarbij session hijacking betrokken was", laat Lookout weten. Gebruikers van de app krijgen het advies om SSL in te schakelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.