DARMSTADT, Duitsland--(BUSINESS WIRE)--Veel populaire Android apps vormen belangrijke bedreigingen voor de veiligheid. Dit is de conclusie van onderzoekers van het Fraunhofer Institute for Secure Information Technology in Darmstadt, Duitsland (Fraunhofer SIT). Door gebruik te maken van zwakheden in de manier waarop het Secure Sockets Layer (SSL)-protocol wordt gebruikt, kunnen aanvallers gevoelige toegangsgegevens stelen, bijv. gebruikersnamen en wachtwoorden. Fraunhofer SIT stelde meer dan 30 getroffen fabrikanten van apps op de hoogte, en tot nu toe 16 hiervan hebben het beveiligingshiaat gesloten. Onder hen bevinden zich Amazon, Yahoo, Google en Volkswagen Bank. Een lijst met alle apps met beveiligingsupdates is te vinden op www.sit.fraunhofer.de/en/appsecuritylist.
Het veiligheidsgevaar van de gebruiker hangt af van de specifieke app: met sommige apps lopen mogelijk alleen persoonlijke foto's gevaar; met bank-apps kunnen toegangsgegevens worden gebruikt voor ongeoorloofde overschrijvingen. Een bijzonder ernstig risico kan zich voordoen als apps gebruik maken van de Single Sign-On-services van Google of Microsoft. In deze gevallen worden toegangsgegevens gebruikt voor een verscheidenheid aan diensten, zoals e-mail en opslag in de cloud.
Het beveiligingslek wordt ingeleid door een onjuist gebruik van SSL. SSL beschermt cryptografisch de verbinding tussen apps en servers. Deze bescherming is gebaseerd op zogenaamde public-key-certificaten. Bij ontvangst van een certificaat worden apps verondersteld om te verifiëren dat het daadwerkelijk behoort tot de server waarmee ze willen communiceren. De onderzoekers kwamen erachter dat in de genoemde apps deze verificatie niet goed uitgevoerd wordt. “Vanuit technisch perspectief is dit een klein foutje. Maar het kan een enorme impact hebben op de veiligheid,” aldus Dr. Jens Heider van Fraunhofer SIT. Een aanvaller hoeft bijvoorbeeld alleen maar de communicatie te manipuleren die plaatsvindt terwijl het slachtoffer surft via een onbeveiligde WLAN, bijv. op een luchthaven of in een restaurant. Het is in deze situaties dat de SSL-encryptie wordt verondersteld om te zorgen voor veilige communicatie.
“In principe is de kwetsbaarheid zeer eenvoudig op te lossen,” verklaart Heider. Hij en zijn team hebben de fabrikant enkele weken geleden al op de hoogte gesteld en hebben verzocht dat de zwakte zou worden verholpen. Het team heeft iedere nieuwe update opnieuw gecontroleerd. “Gebruikers moeten ervoor zorgen dat ze hun apps altijd updaten naar de nieuwste versie,” raadde Heider aan. De kwetsbaarheid werd opgemerkt tijdens de proeffase van het nieuwe testkader van Fraunhofer SIT, 'Appicaptor', dat de veiligheid van apps automatisch test. Fraunhofer SIT testte in totaal 2.000 Android apps.
Deze bekendmaking is officieel geldend in de originele brontaal. Vertalingen zijn slechts als leeshulp bedoeld en moeten worden vergeleken met de tekst in de brontaal, welke als enige rechtsgeldig is.
