Populaire iOS-apps kwetsbaar voor man-in-the-middle-aanvallen
Tientallen populaire iOS-apps zijn kwetsbaar voor man-in-the-middle-aanvallen waardoor aanvallers in bepaalde gevallen vertrouwelijke informatie zoals gebruikersnamen en wachtwoorden kunnen stelen. Dat claimen onderzoekers van beveiligingsbedrijf Verify.ly in een blogpost op Medium.
De verbinding tussen de apps en gebruikers is wel versleuteld, maar de apps blijken aangeboden certificaten niet goed te controleren. Daardoor is het mogelijk voor een aanvaller die zich tussen de gebruiker en het internet bevindt om stilletjes een man-in-the-middle aanval uit te voeren. In totaal werden 76 populaire iOS-apps ontdekt die kwetsbaar zijn. Bij 24 apps bleken er wachtwoorden en sessietokens van ingelogde gebruikers te worden verstuurd die te onderscheppen zijn. 19 andere kwetsbare apps versturen inloggegevens voor financiële en medische diensten die te onderscheppen zijn.
Het grootste risico doet zich voor als gebruikers verbinding met een openbaar wifi-netwerk maken of een aanvaller hun toestel verbinding met een kwaadaardig wifi-netwerk laat maken. De onderzoekers hebben nu de namen van 33 kwetsbare apps bekendgemaakt. Bij deze apps is het risico volgens de onderzoekers beperkt omdat er niet al te gevoelige gegevens worden uitgewisseld. Het gaat onder andere om Cheetah Browser, Private Browser, CashApp, Tencent Cloud, Uploader for Snapchat en Uconnect Access. De namen van de overige apps zullen later pas online verschijnen als de betreffende banken en medische dienstverleners zijn ingelicht.
Dus een OpenVPN connectie naar mijn eigen server en dan pas een APP starten.
Dus een OpenVPN connectie naar mijn eigen server en dan pas een APP starten.
En dat is uiteraard een garantie voor veilig browsen? Of toch niet?
https://tweakers.net/nieuws/120613/onderzoek-veel-gratis-vpn-apps-voor-android-waarborgen-privacy-niet.html
Dus een OpenVPN connectie naar mijn eigen server en dan pas een APP starten.
En dat is uiteraard een garantie voor veilig browsen? Of toch niet?
https://tweakers.net/nieuws/120613/onderzoek-veel-gratis-vpn-apps-voor-android-waarborgen-privacy-niet.html
Het gaat in het artikel over iOS èn ik noem expliciet OpenVPN met een connectie naar een eigen server dus bovenstaande link aanhalen heeft m.i. niet heel veel toegevoegde waarde.
Nee, het is geen garantie maar het is wel een extra laag er tussen en beschermd me wel voor het grootste gevaar namelijk een "rogue Wi-Fi provider" of iemand die op het zelfde WIFI netwerk zit dan ik. Tegen een rotte ISP kan ik me al helemaal niet beschermen die kan in theorie altijd als een m.i.t. er tussen gaan zitten.
Trouwens op de wifi en binnen mijn eigen netwerk gebruik ik ook altijd een vpn verbinding.
Trouwens op de wifi en binnen mijn eigen netwerk gebruik ik ook altijd een vpn verbinding.
Knap dat je nu al weet dat er geen apps tussen zitten die jij gebruikt. Er zijn namelijk pas 33 apps bekend gemaakt van de 76 gevonden apps.
Trouwens op de wifi en binnen mijn eigen netwerk gebruik ik ook altijd een vpn verbinding.
Knap dat je nu al weet dat er geen apps tussen zitten die jij gebruikt. Er zijn namelijk pas 33 apps bekend gemaakt van de 76 gevonden apps.
Van de gecontroleerde apps, er van uit gaan dat niet alle iOS-apps uit de app-store gecontroleerd zijn. ;)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
