image

Geheimen-app Yik Yak was kwetsbaar voor wifi-aanval

dinsdag 9 december 2014, 15:47 door Redactie, 2 reacties

De Yik Yak-app waarmee gebruikers allerlei berichten anoniem met mensen binnen een straal van 16 kilometer kunnen delen was kwetsbaar voor een wifi-aanval waardoor kwaadwillenden het id en hostnames van gebruikers konden achterhalen en zelfs accounts volledig konden overnemen.

De kwetsbaarheid werd ontdekt door Sanford Moskowitz van SilverSky Labs. Het probleem begint doordat Yik Yak niet alleen met de eigen servers communiceert, maar ook met die van een derde partij. Daarbij wordt het userID van de gebruiker uitgewisseld. Iets wat onversleuteld gebeurt. In het geval van een wifi-netwerk kan deze informatie door een aanvaller worden opgevangen.

Zodra het userID is bemachtigd is het vervolgens mogelijk om via een gejailbreakte iPhone het account over te nemen. Hiervoor ontwikkelde Moskowitz een programma dat dit automatiseert, maar het kan ook handmatig worden gedaan door het .plist-bestand van de Yik Yap-app aan te passen en hier het onderschepte userID in te vullen. Vervolgens is het mogelijk om als deze gebruiker zijn of haar berichten te lezen, nieuwe berichten te plaatsen en berichten van anderen te beoordelen.

Wifi-netwerk

Om de aanval uit te voeren moeten de aanvaller en zijn slachtoffer wel op hetzelfde netwerk zitten. Aangezien Yik Yak zeer populair op universiteiten is, is de kans volgens Moskowitz groot dat gebruikers hetzelfde netwerk delen. Zowel de iOS- als Androidversie van de app waren kwetsbaar. Na op 2 december te zijn ingelicht werd het probleem op dezelfde dag nog door de ontwikkelaars verholpen. Toch heeft de onderzoeker wel een boodschap voor gebruikers. "Het internet is eng. Overweeg om je privégedachten voor jezelf te houden."

Reacties (2)
09-12-2014, 16:02 door Anoniem
Geheimen die uitgewisseld worden met een derde partij..
Dumpen die app, lijkt mij.
09-12-2014, 23:19 door Anoniem
[...] waarmee gebruikers [...] anoniem [...]
[...] het id [...] van gebruikers [...]

Een id[(entiteit) voor anonieme communicatie? Is die app zo slecht ontworpen?

Of zou het echte belang van de app niet anonimiteit zijn, maar het verdienen van veul geld (zoals zo vaak...)?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.