Reacties voor: Flickr en andere iOS-apps kwetsbaar voor datadiefstal

Onder andere Flickr is kwetsbaar voor datadiefstal, omdat er geen onderscheid tussen SSL-certificaten wordt gemaakt.
Bastiaan Vroegop -

Reacties: 2 reacties

  1. Van prutsappjes kun je dit soort dingen wel verwachten, maar onvoorstelbaar dat ook ‘serieuze’ apps als Webex self-signed certificaten accepteren. Is naar mijn idee verbijsterend. Wel jammer dat de lijst niet gepubliceerd is…heb 3 of 4 keer doorgeklikt naar andere sites om te kijken of de lijst dan daar stond maar kon hem niet vinden (of ik kan niet goed lezen natuurlijk). Als jullie hem hebben, misschien even posten?

  2. Dat de lijst van iOS niet gebruikt wordt daar is op zich niets mis mee. Zo heeft je browser (of eigenlijk besturingssysteem) ook een lijst van trusted authorities met de daarbij behorende root en intermediate certificaten.

    Op een moment dat een website een certificaat gebruikt uitgegeven door een instantie die niet in de lijst van trusted authorities staat, dat is er in principe niets aan de hand. Je kunt de webserver het root (en intermediate) certificaat laten meesturen en vervolgens is alles koek en ei. Naast dit heeft elke uitgever een validatie URL beschikbaar (is vindbaar in het root certificaat) waar de client kan controleren of het certificaat wel echt geldig is en ondertekend door die uitgever.

    De iOS SSL library werkt denk ik niet anders. Als je een certificaat gebruikt wat niet ondertekend is door een uitgever uit de trusted authority lijst dan is er an sich niets aan de hand. Het wordt pas een probleem als de verificatie uitgeschakeld wordt (ik heb even de developer docs doorgenomen, dit kan door SSLSetEnableCertVerify uit te zetten). Pas dan creeër je een probleem aangezien dan het certificaat niet gecontroleerd wordt op herkomst.

    Vermoedelijk wordt dit tijdens het ontwikkelen gedaan als er gebruik wordt gemaakt van zelf ondertekende certificaten. Vervolgens wordt dit bij het publiceren vergeten.

    Het is gewoon slordig, maar uiteindelijk wordt de data nog wel versleuteld over het netwerk verstuurd. Dat vind ik persoonlijk minder erg dan apps die onversleuteld data uitwisselen. Geloof mij, die zijn er ook genoeg.

Reacties zijn gesloten voor dit artikel.