image

Populaire iOS-apps kwetsbaar voor man-in-the-middle-aanvallen

dinsdag 7 februari 2017, 12:31 door Redactie, 6 reacties

Tientallen populaire iOS-apps zijn kwetsbaar voor man-in-the-middle-aanvallen waardoor aanvallers in bepaalde gevallen vertrouwelijke informatie zoals gebruikersnamen en wachtwoorden kunnen stelen. Dat claimen onderzoekers van beveiligingsbedrijf Verify.ly in een blogpost op Medium.

De verbinding tussen de apps en gebruikers is wel versleuteld, maar de apps blijken aangeboden certificaten niet goed te controleren. Daardoor is het mogelijk voor een aanvaller die zich tussen de gebruiker en het internet bevindt om stilletjes een man-in-the-middle aanval uit te voeren. In totaal werden 76 populaire iOS-apps ontdekt die kwetsbaar zijn. Bij 24 apps bleken er wachtwoorden en sessietokens van ingelogde gebruikers te worden verstuurd die te onderscheppen zijn. 19 andere kwetsbare apps versturen inloggegevens voor financiële en medische diensten die te onderscheppen zijn.

Het grootste risico doet zich voor als gebruikers verbinding met een openbaar wifi-netwerk maken of een aanvaller hun toestel verbinding met een kwaadaardig wifi-netwerk laat maken. De onderzoekers hebben nu de namen van 33 kwetsbare apps bekendgemaakt. Bij deze apps is het risico volgens de onderzoekers beperkt omdat er niet al te gevoelige gegevens worden uitgewisseld. Het gaat onder andere om Cheetah Browser, Private Browser, CashApp, Tencent Cloud, Uploader for Snapchat en Uconnect Access. De namen van de overige apps zullen later pas online verschijnen als de betreffende banken en medische dienstverleners zijn ingelicht.

Reacties (6)
07-02-2017, 13:19 door Anoniem
En daarom heb ik er ook nog altijd een VPN verbinding naar mijn eigen server tussen zitten.
Dus een OpenVPN connectie naar mijn eigen server en dan pas een APP starten.
07-02-2017, 14:07 door PietdeVries
Door Anoniem: En daarom heb ik er ook nog altijd een VPN verbinding naar mijn eigen server tussen zitten.
Dus een OpenVPN connectie naar mijn eigen server en dan pas een APP starten.

En dat is uiteraard een garantie voor veilig browsen? Of toch niet?

https://tweakers.net/nieuws/120613/onderzoek-veel-gratis-vpn-apps-voor-android-waarborgen-privacy-niet.html
07-02-2017, 15:02 door Anoniem
Door PietdeVries:
Door Anoniem: En daarom heb ik er ook nog altijd een VPN verbinding naar mijn eigen server tussen zitten.
Dus een OpenVPN connectie naar mijn eigen server en dan pas een APP starten.

En dat is uiteraard een garantie voor veilig browsen? Of toch niet?

https://tweakers.net/nieuws/120613/onderzoek-veel-gratis-vpn-apps-voor-android-waarborgen-privacy-niet.html

Het gaat in het artikel over iOS èn ik noem expliciet OpenVPN met een connectie naar een eigen server dus bovenstaande link aanhalen heeft m.i. niet heel veel toegevoegde waarde.

Nee, het is geen garantie maar het is wel een extra laag er tussen en beschermd me wel voor het grootste gevaar namelijk een "rogue Wi-Fi provider" of iemand die op het zelfde WIFI netwerk zit dan ik. Tegen een rotte ISP kan ik me al helemaal niet beschermen die kan in theorie altijd als een m.i.t. er tussen gaan zitten.
07-02-2017, 16:55 door Anoniem
Tja de apps waarover het gaat gebruik ik niet op mijn Ipone.
Trouwens op de wifi en binnen mijn eigen netwerk gebruik ik ook altijd een vpn verbinding.
07-02-2017, 17:57 door Anoniem
Door Anoniem: Tja de apps waarover het gaat gebruik ik niet op mijn Ipone.
Trouwens op de wifi en binnen mijn eigen netwerk gebruik ik ook altijd een vpn verbinding.

Knap dat je nu al weet dat er geen apps tussen zitten die jij gebruikt. Er zijn namelijk pas 33 apps bekend gemaakt van de 76 gevonden apps.
07-02-2017, 18:48 door Anoniem
Door Anoniem:
Door Anoniem: Tja de apps waarover het gaat gebruik ik niet op mijn Ipone.
Trouwens op de wifi en binnen mijn eigen netwerk gebruik ik ook altijd een vpn verbinding.

Knap dat je nu al weet dat er geen apps tussen zitten die jij gebruikt. Er zijn namelijk pas 33 apps bekend gemaakt van de 76 gevonden apps.

Van de gecontroleerde apps, er van uit gaan dat niet alle iOS-apps uit de app-store gecontroleerd zijn. ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.