image

Populaire iPhone sport-app lekt wachtwoorden

vrijdag 18 januari 2013, 12:07 door Redactie, 0 reacties

De populairste gratis sport-app op iTunes bevat verschillende beveiligingslekken, zo hebben onderzoekers ontdekt. Het gaat om de ESPN ScoreCenter-app, die live scores, nieuws en video's bevat. Het is de meest gedownloade gratis app op iTunes. De nieuwste versie beschikt niet alleen over een nieuwe interface, maar ook over verschillende kwetsbaarheden, aldus Julien Sobrier van ZScaler Research.

Het eerste probleem waar Sobrier tegen aanliep was een cross-site scripting-probleem (XSS). Hoewel dit probleem vooral bij webapplicaties speelt, komt het ook bij mobiele applicaties voor. Via XSS is het mogelijk om authenticatie-cookies te stelen en zo toegang tot de accounts van slachtoffers te krijgen.

Encryptie
In het geval van de ESPN-app is dat niet nodig, aangezien inloggegevens onversleuteld verstuurd worden, zonder dat gebruikers dit weten. Een groot probleem met mobiele apps is dat gebruikers niet kunnen zien hoe hun gegevens het internet overgaan, zoals bijvoorbeeld de vermelding van HTTPS of een slotje. Ook ontbreken waarschuwingen in het geval inloggegevens onversleuteld verstuurd worden, of er een ongeldig certificaat wordt gebruikt.

In het geval van de ESPN-app speelt het probleem vooral bij gebruikers van open WiFi-netwerken, aangezien het daar eenvoudig is om het onversleutelde verkeer op te vangen. De impact van het lek lijkt echter beperkt, aangezien de inloggegevens alleen onversleuteld worden verstuurd bij het aanmaken van een account.

Controle
Toch is de onderzoeker teleurgesteld in zowel Apple als ESPN. "Het is niet lastig om dit soort beveiligingslekken te ontdekken. Het inspecteren van HTTP(S)-verkeer volstaat. Het is teleurstellend dat de tests van apps om te worden toegelaten tot de iTunes store geen basale beveiligingstests bevatten zoals het zoeken naar XSS en het versturen van wachtwoorden in platte tekst."

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.