Ongeveer 1.500 apps voor de iPhone en iPad zijn kwetsbaar voor een man-in-the-middle aanval. Dit blijkt uit een onderzoek van analysebedrijf SourceDNA. Een bug in de netwerkcode zorgt ervoor dat de verbinding van de apps slecht beveiligd is, waardoor iemand met een nep-hotspot je wachtwoord en gebruikersnaam kan bemachtigen. De ontwikkelaars van de getroffen apps moeten een update uitbrengen om dit probleem op te lossen.
De problemen worden veroorzaak door AFNetworking – een open source-netwerkcode. In januari werd de 2.5.1-versie van AFNetworking uitgebracht, met daarin een bug in de HTTPS-verbinding die de app legt. Hierdoor worden beveiligingscertificaten niet gecheckt, waardoor iOS-apps niet helemaal zeker zijn dat er verbinding wordt gelegd met een betrouwbare partij. Inmiddels is er een bugfix voor AFNetworking verschenen, maar een aantal apps hebben deze nog niet geïnstalleerd. SourceDNA schat dat miljoenen gebruikers hierdoor vatbaar zijn voor een aanval.
Deze bug kan door kwaadwillenden worden misbruikt, door bijvoorbeeld op een openbare locatie een Wi-Fi-hotspot te maken met een veelgebruikte naam. Hierdoor verbinden iDevices met deze nep-hotspot in plaats van de daadwerkelijke internetverbinding. Met behulp van software is het vervolgens mogelijk om naar dataverkeer van de app met de bug te luisteren, om zo vertrouwelijke informatie te bemachtigen.
Tussen de 1.500 getroffen apps zitten een aantal grote namen: volgens SourceDNA zijn onder andere apps van Microsoft, Yahoo en Uber door de bug getroffen. Een aantal van de ontwikkelaars verantwoordelijk voor deze apps, lijkt echter al een bugfix-update beschikbaar te hebben gesteld. Met een webtool van SourceDNA kun je zien welke apps nog de versie van AFNetworking met een bug gebruiken. Hieruit blijkt dat Microsoft, Uber en Yahoo alledrie recent het probleem hebben opgelost. De apps gebruiken nu een oudere of nieuwe versie van AFNetworking. Gebruikers moeten deze updates echter wel installeren voor het beveiligingslek is opgelost.
Via Ars Technica.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Reacties: 4 reacties