Onderzoekers hebben ontdekt dat de iPhone-app van CNN wachtwoorden onversleuteld over internet verstuurt. De app staat op de tweede plek van meest gedownloade gratis nieuws-apps. Naast nieuws en video's biedt het gebruikers via de iReport-functie de mogelijkheid om zelf materiaal te uploaden.
Het gaat dan om foto's, video's en tekst die aan een CNN-artikel worden toegevoegd. Om een iReport-account aan te maken moeten gebruikers een e-mailadres, gebruikersnaam en wachtwoord opgeven. Ook kunnen gebruikers hun echte naam en telefoonnummer invullen. Tijdens het inloggen op iReport worden de inloggegevens onversleuteld verstuurd, aldus onderzoekers van Zscaler. Volgens de onderzoekers is dit met name een probleem omdat er via de iReport-functie ook anoniem nieuwsberichten kunnen worden ingestuurd.
"Deze kwetsbaarheid had eenvoudig door Apple tijdens het controleproces, dat alle nieuwe applicaties ondergaan voordat ze aan de App Store worden toegevoegd, ontdekt kunnen worden, maar ons onderzoek laat zien dat Apple en Google gewoon niet naar dit soort basale beveiligingsproblemen kijken", aldus de onderzoekers. Die zouden CNN op 15 juli hebben ingelicht, waarop de nieuwszender een onderzoek zou zijn gestart. Sindsdien is er echter geen nieuwe versie van de app in de App Store verschenen.
Deze posting is gelocked. Reageren is niet meer mogelijk.