Populaire beurs-app lekt wachtwoord en andere data via http
Een populaire beurs-app voor Android en iOS met 2,4 miljoen dagelijkse gebruikers blijkt gevoelige gegevens zoals wachtwoorden, ingenomen posities en andere data niet te versleutelen, waardoor aanvallers die kunnen onderscheppen of manipuleren en een oplossing is nog niet voorhanden.
Het gaat om de beurs-app SeekingAlpha, een online gemeenschap waar beleggers informatie over de aandelenmarkt uitwisselen. Gebruikers kunnen een lijst van aandelen kiezen waarvoor ze allerlei updates wensen te ontvangen. Naast nieuws over het koersverloop, bedrijfscijfers en verslagen worden er ook updates verstuurd wanneer een SeekingAlpha-auteur een artikel heeft geschreven dat op de geselecteerde portefeuille betrekking heeft.
De app blijkt geen versleuteling toe te passen. Zelfs het inloggen gaat via het onversleutelde http. Een aanvaller in een "bevoorrechte positie" op het netwerk waar ook de SeekingAlpha-gebruiker gebruik van maakt, kan zo het verkeer van de app onderscheppen, bekijken en manipuleren. De kwetsbaarheid werd door beveiligingsbedrijf Rapid7 ontdekt, dat SeekingAlpha begin mei via e-mail informeerde. Twee weken later werd het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit ingelicht.
Vandaag maakte het beveiligingsbedrijf de kwetsbaarheid bekend, ook al is er nog geen update beschikbaar. Gebruikers krijgen het advies om de app, totdat er een update is uitgekomen, niet te gebruiken wanneer ze zich op onbetrouwbare netwerken bevinden. Een vpn kan het risico van een aanvaller op publieke netwerken voorkomen, maar in dit geval is het verkeer alleen tot de vpn-server versleuteld.
Van dit soort fouten heb je er 13 in een dozijn. Het is slordig maar voor iemand dit kan uitbuiten moet je als crimineel man in the middle zien te worden op het verkeer (waardoor je leukere dingen kan doen dan dit verkeer onderscheppen of manipuleren), of de gebruiker heeft al geen kaas gegeten van beveiliging en maakt gebruik van een zeer slecht tot niet beveiligd netwerk (waar een crimineel ook wel wat leukere dingen kan doen dan dit verkeer onderscheppen of manipuleren).
Goed dat ze het melden, maar in onder meer Nederland zijn er securitybedrijven die waslijsten bijhouden met zelf gevonden apps met dit soort domme beveiligingsblunders en nog veel erger. Genoeg ontwikkelaars die geen kaas gegeten hebben van veilig ontwikkelen en niet open staan voor verbetering. En dus blijven die lekken in de software zitten en worden niet publiek bekend gemaakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
