image

Onderzoek: beveiliging populaire reis-apps schiet ernstig tekort

dinsdag 15 september 2015, 13:32 door Redactie, 7 reacties

De beveiliging van de populairste reis-apps voor zowel Android als iOS schiet ernstig tekort, zo blijkt uit onderzoek van Bluebox. Reis-apps zijn door de jaren heen flink veranderd en bieden tegenwoordig allerlei opties, zoals het boeken van vluchten en hotels. Nu deze apps geavanceerdere opties krijgen zorgt dit voor nieuwe beveiligingsrisico's en wordt het aanvalsoppervlak vergroot.

Voor het onderzoek keek Bluebox naar de tien populairste reis-apps voor zowel Android als iOS. Slechts één van de tien Android-apps bleek 'data at rest' op het toestel te versleutelen, terwijl geen enkele van de iOS-apps dit deed. Verder bleek dat twee van de tien Android-apps en één van de tien iOS-apps certificaatpinning gebruikt. Certificaatpinning zorgt ervoor dat een app het certificaat van de server controleert, zodat er met de juiste server wordt gecommuniceerd. Dit moet man-in-the-middle-aanvallen voorkomen.

Volgens de onderzoekers is het een best practice om certificaatpinning in de app te integreren, maar blijken de ontwikkelaars van reis-apps dit niet te doen. Zelfs bij de drie apps die de techniek wel toepassen blijkt dat het alleen voor een deel van de netwerkverbinding wordt gebruikt, zodat de rest van verbindingen onbeschermd is. Verder blijkt dat de meest reis-apps met code van andere ontwikkelaars zijn gemaakt en niet 'in-house' zijn ontwikkeld. Dit vergroot het aanvalsoppervlak.

De onderzoekers concluderen dat de beveiliging van mobiele apps nog in de kinderschoenen staat en reis-apps met name de beveiliging moeten aanscherpen. Consumenten die dit soort apps gebruiken krijgen het advies om alleen apps via Google Play of de Apple App Store te downloaden, de meest recente versie van besturingssysteem en app te gebruiken, voorzichtig te zijn met het gebruik van openbare wifi-netwerken en niet vertrouwde certificaatautoriteiten uit te schakelen.

Reacties (7)
15-09-2015, 13:59 door Anoniem
Ik heb nog nooit een reis-app gebruikt en ik ken ook niemand die dit gebruikt.
Heeft iemand voorbeelden van populaire reis-apps?
15-09-2015, 16:49 door Anoniem
Bluebox geeft niet aan welke applicaties ze hebben onderzocht en geeft niet aan wat de criteria voor populair is om een applicatie te onderzoeken. Evenmin geven ze aan hoe de risico's zich verhouden tot andere applicaties. Het advies wat ze vervolgens geven is generiek en is niet anders dan reguliere maatregelen die je als gebruiker zou moeten nemen.
15-09-2015, 17:24 door Anoniem
Jeemig wat een slecht verhaal. De onderzochte apps staan er niet in, alleen een link naar “iOS Top App Charts” and “Google Play Top App Charts”. Geen idee om welke apps het gaat...
15-09-2015, 17:50 door Anoniem
Lo and behold, er is iets dat Google heet. In het rapport staat 'top 10' travel apps. Tis een us company, dus voor Android:

https://www.appannie.com/apps/google-play/top/united-states/application/travel-and-local/

en voor ios

https://www.appannie.com/apps/ios/top/united-states/travel/?device=iphone

Niet zo moeilijk toch?
15-09-2015, 20:01 door Anoniem
Door Anoniem: Lo and behold, er is iets dat Google heet. In het rapport staat 'top 10' travel apps. Tis een us company, dus voor Android:

https://www.appannie.com/apps/google-play/top/united-states/application/travel-and-local/

en voor ios

https://www.appannie.com/apps/ios/top/united-states/travel/?device=iphone

Niet zo moeilijk toch?

Niet bepaald een antwoord op de vraag.

De betreffende Android pagina bevat gewoon alle Apps die iets met reizen te maken hebben zoals bijvoorbeeld Google Earth, United Airlines, AirBnB. Ongetwijfeld zullen tussen deze 400 Apps ergens wel de Apps staan die ze in het artikel bedoelen. Een verzameling gegevens is gewoon desinformatie.
16-09-2015, 10:40 door User2048
Wie van de bovenstaande commentaargevers heeft de whitepaper gedownload en gelezen?
16-09-2015, 15:00 door Anoniem
Daar staan ook geen namen van apps in, dus wat bedoel je daarmee?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.