image

Safari en Android browser kwetsbaar voor afluisteren

vrijdag 21 maart 2014, 11:58 door Redactie, 1 reacties

Een maatregel die internetgebruikers tegen afluisteren en andere aanvallen moet beschermen als ze met HTTPS-beveiligde websites bezoeken is nog steeds niet aanwezig in Apple Safari en de Android browser. Dat laat beveiligingsonderzoeker Ivan Ristic van beveiligingsbedrijf Qualys weten.

Het probleem in kwestie ontstaat als websites die HTTPS gebruiken ook content via het onversleutelde HTTP aanbieden. Een aanvaller kan via een man-in-the-middle-aanval de HTTP-content onderscheppen om zo volledige toegang tot de website te krijgen die de content laadt. Zo is het bijvoorbeeld mogelijk om een phishingaanval uit te voeren, maar in het ergste geval is het zelfs mogelijk om de complete browser te compromitteren, waarschuwt Ristic.

"Eén kwetsbaar script is voldoende: de aanvaller kan de verbinding kapen en er een willekeurige lading in injecteren", zo laat de onderzoeker weten. Om gebruikers tegen "mixed content", zoals het laden van HTTP-content op een HTTPS-website wordt genoemd, te beschermen, blokkeren browsers de HTTP-content.

Soorten mixed content

Er zijn twee soorten mixed content, namelijk actieve mixed content, zoals scripts, en passieve mixed content, zoals afbeeldingen. Actieve content wordt als gevaarlijker beschouwd, omdat het het gedrag van de HTTPS-pagina kan aanpassen en zo in staat is om gevoelige gegevens van gebruikers te stelen. Daarom wordt voornamelijk actieve mixed content door browser geblokkeerd.

Ristic ontdekte dat zowel Apple Safari als de browser die standaard op Android-toestellen wordt gebruikt, mixed content gewoon toestaan. Daarnaast bleek Google Chrome mixed content deels te blokkeren. Zeker in het geval van Safari en de Android browser, die ook nauwelijks voor mixed content waarschuwen, kan dit een risico voor gebruikers vormen.

Webontwikkelaars krijgen dan ook het advies om ervoor te zorgen dat er op hun HTTPS-sites geen HTTP-content aanwezig is. Wie wil kijken of zijn browser mixed content blokkeert kan dat via deze pagina doen.

Image

Reacties (1)
21-03-2014, 12:18 door Anoniem
Dubbel werk aan de winkel
Veel toepasselijker voorbeeld in dit geval, niet de eerste keer dat ik erop wijs, bij een pagina die Apple gebruikers sowieso af en toe eens kunnen bezoeken :

Apple Securiy Updates
https://support.apple.com/kb/HT1222

" '(..mozilla browser..)' has blocked content that isn't secure.
Most websites will still work properly even when this content is blocked. "

In dit geval wordt de layout van de pagina niet volledig als bedoeld geladen / weergegeven wanneer je deze pagina met een mozilla browser bezoekt (door combi mixed content?).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.