image

1500 iOS-apps kwetsbaar voor MitM-aanvallen

dinsdag 21 april 2015, 14:36 door Redactie, 8 reacties

Zo'n 1500 applicaties voor de iPhone en iPad bevatten een kwetsbaarheid waardoor een aanvaller die zich tussen een gebruiker en het internet bevindt het versleutelde SSL-verkeer van de app kan onderscheppen en ontsleutelen. Het lek is aanwezig in de AFNetworking library die deze applicaties gebruiken en zorgt ervoor dat SSL-certificaten niet goed worden gecontroleerd.

De AFNetworking library is een populaire library voor app-ontwikkelaars en voegt netwerkmogelijkheden aan de app toe. De kwetsbaarheid werd op 26 maart van dit jaar gepatcht, maar uit onderzoek van SourceDNA blijkt dat nog zo'n 1500 apps een kwetsbare versie van de library gebruiken. Onderzoekers van Minded Security waarschuwden eind maart al voor het probleem en stellen dat ze tijdens een test al het kwetsbare SSL-verkeer wisten te onderscheppen via een proxy zoals de Burp Suite.

Volgens SourceDNA is het probleem inmiddels wel gepatcht, maar weten veel app-ontwikkelaars niet van het probleem en blijven kwetsbare updates voor hun apps uitbrengen. Het bedrijf zette deze website online waarmee gebruikers kunnen kijken of er op hun toestel apps zijn geïnstalleerd die kwetsbaar zijn.

Reacties (8)
21-04-2015, 19:47 door spatieman
omg, apple toch niet veilig !!
* vlag uit hangen *
22-04-2015, 05:52 door donnerd
Door spatieman: omg, apple toch niet veilig !!
* vlag uit hangen *
Moeilijk he, lezen?
Het gaat om apps van DERDEN... dus Apple is gewoon veilig.
22-04-2015, 08:26 door Anoniem
Het zijn wel OSX/IOS library's.. dus appel blijft niet 100% onschuldig
22-04-2015, 08:56 door [Account Verwijderd]
[Verwijderd]
22-04-2015, 16:10 door donnerd
Door pe0mot:
Door donnerd:
Door spatieman: omg, apple toch niet veilig !!
* vlag uit hangen *
Moeilijk he, lezen?
Het gaat om apps van DERDEN... dus Apple is gewoon veilig.
Yep, 1500 apps met een library die niet veilig is.
Keep dreaming
Daar heeft Apple geen invloed op, of is iedere lekke android app direct een blunder van Google?
22-04-2015, 16:48 door Anoniem
Voor de trolletjes die niet lezen kunnen

Volgens SourceDNA is het probleem inmiddels wel gepatcht, maar weten veel app-ontwikkelaars niet van het probleem en blijven kwetsbare updates voor hun apps uitbrengen.

Ergo, ontwikkelaars moeten hun eigen ontwikkelsoftware updaten.
Als ze dat niet doen zou Apple ervoor kunnen kiezen een blokkade voor deze apps op te leggen, dan is de wereld weer te klein natuurlijk.
Vermoedelijk ziet Apple het nog even aan.
22-04-2015, 20:26 door [Account Verwijderd] - Bijgewerkt: 22-04-2015, 20:36
[Verwijderd]
23-04-2015, 01:01 door Anoniem
Door pe0mot:
Door donnerd:
Door pe0mot:
Door donnerd:
Door spatieman: omg, apple toch niet veilig !!
* vlag uit hangen *
Moeilijk he, lezen?
Het gaat om apps van DERDEN... dus Apple is gewoon veilig.
Yep, 1500 apps met een library die niet veilig is.
Keep dreaming
Daar heeft Apple geen invloed op, of is iedere lekke android app direct een blunder van Google?
Ja, als de library van Googel of Appel is of wordt aanbevolen. Als hun development/test omgevingen brak zijn vanwege gebrek aan goede testen, als de app store geen checks doet. Ja.
Door app's in je winkel te zetten die alleen maar op je eigen OS of eigen Hardware draaien heb je een hoge verantwoordelijkheid die je niet kan afschuiven.
Voorbeeld: als een winkel levensmiddelen verkoopt waarvan hij niet weet of de producent een controle doet op salmonella of andere beestjes, dan is de winkel ook fout bezig.

Man, loop niet te kliermieren :

- De kwetsbaarheid is gepatcht.
- Een securitybedrijf meldt 4 weken geleden dat niet alle developers dat doorhebben en hun updates niet hebben gedaan.
- Een ander securitybedrijf ziet de dubbele kans schoon om met het nieuws zelf iets te doen, waaronder zelf de publiciteit halen.
- Dat laatste securitybedrijf gooit het nieuws plus een website op 20/22 april online en haalt daarmee de pers.

Jij verwacht dat Apple daar direct op reageert?
Apple wordt dagelijks en al jaren van alle kanten bestookt door bedrijven die iets vinden van Apple of eventueel vinden bij Apple.
Apple laat zich overduidelijk nooit opjagen door perszoekers, sterker ze laat zich nergens over uit.
Of deze totale stilte nou een nadeel of een voordeel is, daar kan je nog over discussieren.

In ieder geval is de verwachting misschien wat eenzijdig en hoog om van Apple te verwachten dat ze alle app's nu gaat testen op alle mogelijke kwetsbaarheden, alle apps gaat testen op onderdelen om te zien of die allemaal wel up to date zijn?

Wellicht een beetje een al te enthousiaste malle Pietje veronderstelling om dat pro actief op alle software toe te passen, hoewel er wel al vooraf een check plaats vindt zal je die niet 100 % dicht krijgen, om nog maar te zwijgen van de tijdsinvestering die dat gaat kosten. (Of je salmonella vergelijking opgaat is maar zeer de vraag maar gaat voorbij aan iets anders, eigen verantwoordelijkheid).

Eigen verantwoordelijkheid nemen : Developers horen zelf meer gezonde aandacht voor security te hebben.
Te beginnen met veilige software gebruiken.
Simpel.
Al lang geleden voor gewaarschuwd, ook hier :

https://www.security.nl/posting/40182/App-explosie+is+achilleshiel+smartphone

Als het uit de hand loopt kan Apple inderdaad ingrijpen door app's te gaan controleren op dit probleem en ze te gaan weigeren.
Niet geheel onbegrijpelijk van Apple dat ze niet direct hiertoe overgaan (is het waarschijnlijk ook niet goed).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.