‘Populaire apps met 18 miljoen downloads kwetsbaar voor dataverlies’

Beveiliging staat bij Apple vaak voorop, maar toch kan het gebeuren dat bepaalde gegevens die je met apps deelt lang niet altijd veilig zijn. Uit een analyse van de website Verfy.ly blijkt dat bij 76 populaire apps gegevens gestolen kunnen worden door een slechte beveiliging, zonder dat de gebruiker hier wat van merkt. Het gaat dan vooral om apps om gratis muziek mee te luisteren en apps die beloven meer Snapchat-volgers te geven. Ze zijn gezamenlijk goed voor zo’n 18 miljoen downloads.

• Loops Live
• InstaRepost
• FreeMyApps
• VICE News
• Uploader voor Snapchat
• Volify
• VivaVideo
• ooVoo
• Epic!
• Code Scanner by ScanLife

‘Apps met 18 miljoen downloads bevatten datalekken’

De analyse van de in totaal 76 apps is samengesteld door Will Strafach van Verify.ly. Verify.ly is een gratis dienst waarmee je zelf kunt controleren hoe veilig de door jou gebruikte apps zijn. Gegevens die in de desbetreffende apps verstuurd worden, zouden niet goed beveiligd zijn. Het risico op gestolen data is dan ook het grootst bij gebruik van openbare Wi-Fi-netwerken, zoals dit vaker het geval is. De gegevens kunnen echter ook gestolen worden als de hacker binnen jouw eigen Wi-Fi-signaal komt.

Bekijk ook

Bekijk zelf hoe veilig je apps zijn met gratis Verify.ly

Hoe zit het met de beveiliging van Pokémon Go of Snapchat? Met de gratis dienst Verify.ly kijk je zelf hoe veilig de apps op jouw iPhone zijn.

Het probleem kan niet verholpen worden door Apple’s App Transport Security-funtie in iOS. Met deze functie moeten apps gebruikmaken van de beveiligde HTTPS-verbinding. Maar als de code verkeerd ingesteld is, kan de App Transport Security-functie de beveiliging niet als onveilig herkennen. Het gebruik van App Transport Security is voor appmakers nog geen vereiste. Eigenlijk zou de beveiligde verbinding voor apps op 1 januari verplicht worden, maar uit een onderzoek bleek al dat veel apps nog niet klaar zijn voor HTTPS. Uiteindelijk besloot Apple de deadline uit te stellen, waardoor een HTTPS-verbinding pas later vereist is. Een precieze datum heeft Apple nog niet vastgesteld.

Bekijk ook

Appmakers nog niet klaar voor Apple's overstap naar HTTPS

Appmakers zijn nog niet klaar voor de verplichte overstap naar HTTPS, dat Apple in januari 2017 wil invoeren. 97% van de apps voldoet niet.

Apps met lage, medium en hoge risico’s

De betrokken apps zijn door het onderzoek ingedeeld in drie categorieën: low, medium en high risk. Bij low-risk gaat het om gedeeltelijk gevoelige informatie, zoals informatie over het gebruikte toestel, gegevens zoals e-mailadres en logingegevens die via een Wi-Fi-netwerk ingevoerd worden. Bij apps met een medium risico, geldt dit ook voor de logingegevens van gebruikers die al ingelogd zijn. Apps met een hoge risico zijn gevoelig voor het lekken van medische en financiële inloggegevens, zoals van bankenapps. Van de twee laatste groepen heeft de onderzoeker nog geen lijst van betrokken apps beschikbaar gesteld, omdat er eerst contact opgenomen wordt met de desbetreffende ontwikkelaars. De lijst van low-risk apps bevat vooral videobewerkers zoals VivaVideo, muziekstreamers als Volify, chatapps als Mico en allerlei VPN-apps. Daarnaast gaat het om een groot aantal Snapchat-apps die je bijvoorbeeld foto’s laten uploaden, maar die zijn in veel gevallen niet in de Nederlandse App Store beschikbaar.

Het advies is dan ook om dit soort apps links te laten liggen. Gebruik voor diensten als Snapchat en Instagram alleen officiële apps, helemaal als de apps je bijvoorbeeld meer volgers beloven. Apps die je allerlei gratis dingen beloven, zoals muziek en andere content, zijn in veel gevallen minder betrouwbaar. Als advies geeft het onderzoek bovendien nog dat je bij gebruik van apps waarmee je gevoelige informatie deelt, beter het Wi-Fi-signaal van je toestel uit kunt schakelen om eventuele interceptie en dataverlies te voorkomen.

In de Medium-post van Strafach vind je een complete lijst van alle low-risk apps en een meer gedetailleerde uitleg van het probleem.