Veel van de populaire gratis Android-apps in de Google Play store gebruiken zwakke encryptie voor het beschermen van gevoelige informatie. Dat beweert het Amerikaanse beveiligingsbedrijf FireEye dat 9339 apps met meer dan 1 miljoen downloads analyseerde. Daarvan bleken er 8261 een cryptografische functionaliteit van het Android-platform te gebruiken. Van deze 8261 apps bleken weer 5147 apps (62%) één of meerdere cryptografische kwetsbaarheden te bevatten.
Het gaat dan bijvoorbeeld om het gebruik van statische sleutels voor de encryptie. Deze sleutels kunnen uit de app worden gehaald en om vervolgens de gegevens te ontsleutelen. Dit was bij 21% van de apps het geval. Verder bleek 58% een zwak encryptiealgoritme te gebruiken waardoor de apps voor bepaalde aanvallen kwetsbaar zijn. Voor een handvol apps werd daarnaast een aanval ontwikkeld. Eén van deze apps accepteerde alle voorgeschotelde SSL-certificaten, waardoor aanvallers een Man-in-the-Middle-aanval kunnen uitvoeren.
Volgens de onderzoekers zijn cryptografische kwetsbaarheden een serieuze dreiging, omdat ze de effectiviteit van andere aanvallen versterken. Via het verkeerd gebruik van SSL zou een aanvaller bijvoorbeeld gevoelige informatie kunnen onderscheppen. "Dit probleem wordt vergroot door root-exploits waarbij een aanvaller een toestel kan rooten, bepalen welke apps geïnstalleerd zijn om willekeurige data voor offline decryptie te versturen", besluit onderzoeker Adrian Mettler.
Deze posting is gelocked. Reageren is niet meer mogelijk.