image

Bank- en browser-apps voor iOS kwetsbaar voor mitm-aanval

vrijdag 5 mei 2017, 15:25 door Redactie, 2 reacties

Een onderzoeker heeft in tientallen populaire iOS-apps een beveiligingslek gevonden waardoor aanvallers via man-in-the-middle (mitm) aanvallen gevoelige informatie kunnen stelen, zoals gebruikersnamen en wachtwoorden. Het gaat onder andere om verschillende bank-apps en de Dolpin Browser.

De verbinding tussen de apps en gebruikers is wel versleuteld, maar de apps blijken aangeboden certificaten niet goed te controleren. Daardoor is het mogelijk voor een aanvaller die zich tussen de gebruiker en het internet bevindt om stilletjes een man-in-the-middle aanval uit te voeren en zo gevoelige gegevens als wachtwoorden te onderscheppen. Onder andere HipChat en Foxit PDF waren kwetsbaar, maar deze apps zijn inmiddels gepatcht.

Dat geldt niet voor Panda Mobile Security, Dolphin Web Browser, Yo., apps van Puma en Warner Bros, alsmede meerdere applicaties voor mobiel bankieren. Het gaat hierbij niet om apps van Nederlandse banken, maar banken als America’s First, Banco Santander Mexico, Banco de Costa Rica, Space Coast Credit Union, Banque Zitouna, Emirates NBD Bank, State Bank of India, Dollar Bank, Great Southern Bank en Think Mutual Bank. Ook apps voor beleggers van TradeKing en FOREX zijn nog altijd kwetsbaar.

Onderzoeker Will Strafach heeft gemengde gevoelens over het rapporteren van de kwetsbaarheden. Sommige bedrijven gaven namelijk geen enkele reactie. Strafach heeft naar eigen zeggen deze kwetsbaarheid nu bij meer dan 250 apps in de App Store aangetroffen. Hij vraagt zich dan ook af of het waarschuwen van elke ontwikkelaar wel een effectieve manier is voor dit groeiende probleem.

Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit waarschuwt om de kwetsbare apps niet te gebruiken, aangezien er geen andere oplossing voorhanden is. Bij sommige diensten wordt aangeraden om direct naar de website te gaan. Verder wordt geadviseerd om onbetrouwbare netwerken, zoals open wifi-netwerken, te vermijden. "Het gebruik van onbetrouwbare netwerken vergroot de kans dat je slachtoffer van een mitm-aanval wordt", aldus het CERT/CC.

Reacties (2)
05-05-2017, 15:37 door Anoniem
Gemengde gevoelens?
Onderzoeker Will Strafach heeft gemengde gevoelens over het rapporteren van de kwetsbaarheden. Sommige bedrijven gaven namelijk geen enkele reactie. Strafach heeft naar eigen zeggen deze kwetsbaarheid nu bij meer dan 250 apps in de App Store aangetroffen. Hij vraagt zich dan ook af of het waarschuwen van elke ontwikkelaar wel een effectieve manier is voor dit groeiende probleem.

Het lijkt er meer op dat Strapats ook weer niet te graag wilde dat het verholpen werd.
Strapats had einfach Apple kunnen benaderen en erop wijzen hoe het tweede steeltje in het Apple s torretje stak.

Maar snappats heeft veel liever media aandacht rondom zijn bedrijf want dits nieuws is vooraal ook een kruiwagentje om zijn eigen $$ apps te kunnen verkopen.

Een effectieve manier was dus geweest om Apple in te lichten.
Als Apple dreigt apps' terug te trekken uit de store moet je dan eens zien hoe snel de problemen verholpen zijn.
Maarja dan had $trapatsie minder gratis reclame gehad.
06-05-2017, 19:15 door Anoniem
De verbinding tussen de apps en gebruikers is wel versleuteld
Hoe moet ik me dat voorstellen? De app laat ASCII-bagger zien, die ik als gebruiker moet decoderen? Moet ik in code opdrachten geven?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.