Een onderzoeker heeft in tientallen populaire iOS-apps een beveiligingslek gevonden waardoor aanvallers via man-in-the-middle (mitm) aanvallen gevoelige informatie kunnen stelen, zoals gebruikersnamen en wachtwoorden. Het gaat onder andere om verschillende bank-apps en de Dolpin Browser.
De verbinding tussen de apps en gebruikers is wel versleuteld, maar de apps blijken aangeboden certificaten niet goed te controleren. Daardoor is het mogelijk voor een aanvaller die zich tussen de gebruiker en het internet bevindt om stilletjes een man-in-the-middle aanval uit te voeren en zo gevoelige gegevens als wachtwoorden te onderscheppen. Onder andere HipChat en Foxit PDF waren kwetsbaar, maar deze apps zijn inmiddels gepatcht.
Dat geldt niet voor Panda Mobile Security, Dolphin Web Browser, Yo., apps van Puma en Warner Bros, alsmede meerdere applicaties voor mobiel bankieren. Het gaat hierbij niet om apps van Nederlandse banken, maar banken als America’s First, Banco Santander Mexico, Banco de Costa Rica, Space Coast Credit Union, Banque Zitouna, Emirates NBD Bank, State Bank of India, Dollar Bank, Great Southern Bank en Think Mutual Bank. Ook apps voor beleggers van TradeKing en FOREX zijn nog altijd kwetsbaar.
Onderzoeker Will Strafach heeft gemengde gevoelens over het rapporteren van de kwetsbaarheden. Sommige bedrijven gaven namelijk geen enkele reactie. Strafach heeft naar eigen zeggen deze kwetsbaarheid nu bij meer dan 250 apps in de App Store aangetroffen. Hij vraagt zich dan ook af of het waarschuwen van elke ontwikkelaar wel een effectieve manier is voor dit groeiende probleem.
Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit waarschuwt om de kwetsbare apps niet te gebruiken, aangezien er geen andere oplossing voorhanden is. Bij sommige diensten wordt aangeraden om direct naar de website te gaan. Verder wordt geadviseerd om onbetrouwbare netwerken, zoals open wifi-netwerken, te vermijden. "Het gebruik van onbetrouwbare netwerken vergroot de kans dat je slachtoffer van een mitm-aanval wordt", aldus het CERT/CC.
Deze posting is gelocked. Reageren is niet meer mogelijk.