image

Grote download kon app vpn-provider PIA laten crashen

donderdag 26 oktober 2017, 10:17 door Redactie, 3 reacties

Een beveiligingslek in de Android-app van vpn-provider Private Internet Access (PIA) maakte het mogelijk om de app via een grote download te laten crashen. De vpn-app maakt verbinding met een PIA-server om een lijst met vpn-servers te downloaden. Dit gebeurt over het onbeveiligde http.

Aangezien er geen gebruik van tls wordt gemaakt kan een aanvaller die zich tussen de gebruiker en het internet bevindt het http-verkeer van en naar de PIA-server onderscheppen en zijn eigen data injecteren. Door een datapakket terug te sturen dat groter is dan het geheugen van het Android-toestel, crashte de PIA-app. De applicatie bevatte geen controle om grote downloads te voorkomen.

Private Internet Access werd op 18 oktober ingelicht en afgelopen dinsdag 24 oktober werd er een nieuwe versie in de Google Play Store uitgerold die het probleem verhelpt. De PIA-app controleert voortaan de omvang bij het downloaden en verwerken van het bestand met de lijst van vpn-servers. De kwetsbaarheid werd door Nightwatch Cybersecurity ontdekt en gerapporteerd. Voor het melden keerde Private Internet Access een niet nader genoemde beloning uit.

Reacties (3)
26-10-2017, 13:30 door Anoniem
Ik zou bezorgt zijn over welke gaten er nog meer zijn.
26-10-2017, 15:34 door Anoniem
Door Anoniem: Ik zou bezorgt zijn over welke gaten er nog meer zijn.

Vandaar dat het ook een heel stuk wijzer is om OpenVPN te gebruiken in plaats van kant en klare applicaties van VPN aanbieders zelf.
26-10-2017, 20:05 door Anoniem
Door Anoniem: Ik zou bezorgt zijn over welke gaten er nog meer zijn.

Ik ben blij dat ze tenminste snel gaten dichten en er ook beloningen voor uitdelen. In alle software zitten gaten, belangrijkste is dat ze snel gedicht worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.