Tientallen populaire iOS-apps zijn kwetsbaar voor man-in-the-middle-aanvallen waardoor aanvallers in bepaalde gevallen vertrouwelijke informatie zoals gebruikersnamen en wachtwoorden kunnen stelen. Dat claimen onderzoekers van beveiligingsbedrijf Verify.ly in een blogpost op Medium.

De verbinding tussen de apps en gebruikers is wel versleuteld, maar de apps blijken aangeboden certificaten niet goed te controleren. Daardoor is het mogelijk voor een aanvaller die zich tussen de gebruiker en het internet bevindt om stilletjes een man-in-the-middle aanval uit te voeren. In totaal werden 76 populaire iOS-apps ontdekt die kwetsbaar zijn. Bij 24 apps bleken er wachtwoorden en sessietokens van ingelogde gebruikers te worden verstuurd die te onderscheppen zijn. 19 andere kwetsbare apps versturen inloggegevens voor financiële en medische diensten die te onderscheppen zijn.

Het grootste risico doet zich voor als gebruikers verbinding met een openbaar wifi-netwerk maken of een aanvaller hun toestel verbinding met een kwaadaardig wifi-netwerk laat maken. De onderzoekers hebben nu de namen van 33 kwetsbare apps bekendgemaakt. Bij deze apps is het risico volgens de onderzoekers beperkt omdat er niet al te gevoelige gegevens worden uitgewisseld. Het gaat onder andere om Cheetah Browser, Private Browser, CashApp, Tencent Cloud, Uploader for Snapchat en Uconnect Access. De namen van de overige apps zullen later pas online verschijnen als de betreffende banken en medische dienstverleners zijn ingelicht.