Bank- en browser-apps voor iOS kwetsbaar voor mitm-aanval
Een onderzoeker heeft in tientallen populaire iOS-apps een beveiligingslek gevonden waardoor aanvallers via man-in-the-middle (mitm) aanvallen gevoelige informatie kunnen stelen, zoals gebruikersnamen en wachtwoorden. Het gaat onder andere om verschillende bank-apps en de Dolpin Browser.
De verbinding tussen de apps en gebruikers is wel versleuteld, maar de apps blijken aangeboden certificaten niet goed te controleren. Daardoor is het mogelijk voor een aanvaller die zich tussen de gebruiker en het internet bevindt om stilletjes een man-in-the-middle aanval uit te voeren en zo gevoelige gegevens als wachtwoorden te onderscheppen. Onder andere HipChat en Foxit PDF waren kwetsbaar, maar deze apps zijn inmiddels gepatcht.
Dat geldt niet voor Panda Mobile Security, Dolphin Web Browser, Yo., apps van Puma en Warner Bros, alsmede meerdere applicaties voor mobiel bankieren. Het gaat hierbij niet om apps van Nederlandse banken, maar banken als America’s First, Banco Santander Mexico, Banco de Costa Rica, Space Coast Credit Union, Banque Zitouna, Emirates NBD Bank, State Bank of India, Dollar Bank, Great Southern Bank en Think Mutual Bank. Ook apps voor beleggers van TradeKing en FOREX zijn nog altijd kwetsbaar.
Onderzoeker Will Strafach heeft gemengde gevoelens over het rapporteren van de kwetsbaarheden. Sommige bedrijven gaven namelijk geen enkele reactie. Strafach heeft naar eigen zeggen deze kwetsbaarheid nu bij meer dan 250 apps in de App Store aangetroffen. Hij vraagt zich dan ook af of het waarschuwen van elke ontwikkelaar wel een effectieve manier is voor dit groeiende probleem.
Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit waarschuwt om de kwetsbare apps niet te gebruiken, aangezien er geen andere oplossing voorhanden is. Bij sommige diensten wordt aangeraden om direct naar de website te gaan. Verder wordt geadviseerd om onbetrouwbare netwerken, zoals open wifi-netwerken, te vermijden. "Het gebruik van onbetrouwbare netwerken vergroot de kans dat je slachtoffer van een mitm-aanval wordt", aldus het CERT/CC.
Het lijkt er meer op dat Strapats ook weer niet te graag wilde dat het verholpen werd.
Strapats had einfach Apple kunnen benaderen en erop wijzen hoe het tweede steeltje in het Apple s torretje stak.
Maar snappats heeft veel liever media aandacht rondom zijn bedrijf want dits nieuws is vooraal ook een kruiwagentje om zijn eigen $$ apps te kunnen verkopen.
Een effectieve manier was dus geweest om Apple in te lichten.
Als Apple dreigt apps' terug te trekken uit de store moet je dan eens zien hoe snel de problemen verholpen zijn.
Maarja dan had $trapatsie minder gratis reclame gehad.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
