My Vodafone iPhone-app verstuurt inloggegevens onbeveiligd

De My Vodafone-app, waarmee Vodafone-abonnees hun tegoed kunnen checken, verstuurt de inloggegevens van de gebruiker onbeveiligd. De account-informatie en persoonsgegevens achter telefoonnummers is daardoor gemakkelijk te achterhalen.
Bart Breij - · Laatst bijgewerkt:

My Vodafone iPhone app onbeveiligdDe inloggegevens die je invoert via de My Vodafone-app op de iPhone, zijn gemakkelijk door kwaadwillenden te achterhalen. Dat meldt appontwikkelaar Dennis Lexis aan iPhoneclub. Hij onderzocht autorisatieprocessen van verschillende applicaties en stuitte daarbij op de slechte bescherming die de Vodafone-app aan haar klanten biedt. De applicatie verstuurt de inloggegevens van klanten namelijk via een onbeveiligde HTTP-verbinding. Zowel het 06-nummer als het wachtwoord worden meegezonden en kunnen daardoor gemakkelijk door anderen onderschept worden.

Gevoelige, persoonlijke informatie wordt doorgaans verzonden via een beveiligde SSL- of HTTPS-verbinding. Dat is bij de applicatie van Vodafone niet het geval. Eveneens staat de informatie onbeveiligd op de iPhone zelf. De accountgegevens zijn daar niet afgeschermd, maar te achterhalen in een simpele property-lijst; een aan de app gehecht tekstbestand met persoonlijke informatie. Daardoor kan de onbeveiligde informatie door handige jongens onderschept worden.

Met de inloggegevens kunnen kwaadwillenden inloggen op de My Vodafone-website. Daar is de abonnementsvorm te veranderen, maar kunnen ook persoonsgegevens achterhaald en gewijzigd worden.

My Vodafone verstuur gegevens onbeveiligd

De My Vodafone-applicatie werd 28 februari uitgebracht. Het laat abonnees van de telecomprovider beltegoed en de databundel in de gaten houden. Ook kan je er tarieven van het buitenland bekijken en zie je er algemene informatie over je abonnement. Tipgever Lexis kaartte het beveilingseuvel eerder al aan bij de Vodafone Webcare, maar ontving geen reactie. Vóór publicatie van dit artikel namen we contact op met Vodafone om het probleem nogmaals te melden. Een halfuur na de afgesproken deadline ontvingen we een reactie terug: Vodafone is op de hoogte van het beveiligingsprobleem en zal ze met de hoogste prioriteit oppakken, aldus een woordvoerder tegenover iPhoneclub.nl.

Informatie in gevaar?

Hoe kun je voorkomen dat je gegevens in verkeerde handen komen? Je persoonlijke gegevens die in de My Vodafone-app aanwezig zijn, lopen niet direct gevaar als je wat voorzorgsmaatregelen neemt. Dit zijn maatregelen die elke verstandige internetgebruiker kent: niet zomaar gebruik maken van openbare hotspots of openstaande draadloze netwerken en zeker geen privacygevoelige gegevens versturen via zo’n onbeveiligd netwerk. We raden daarom aan de app alleen via het 3G-netwerk te gebruiken of via je draadloze netwerk thuis (mits voldoende beveiligd tegen gebruik door derden). Ook moet je voorkomen dat anderen jouw iPhone fysiek in handen krijgen, omdat ze in dat geval de property-list kunnen uitlezen. Tot een eventuele update is voorzichtigheid geboden bij gebruik van de My Vodafone-app.

Reactie Vodafone

Vodafone heeft bij monde van woordvoerder Richard Mes (om 16:45 uur) een uitgebreide reactie aan iPhoneclub gegeven.

De My Vodafone login gegevens die vanuit de iOS applicatie naar de Vodafone login servers wordt verstuurd zijn niet versleuteld. Gegevens die vanuit de Android applicatie naar de Vodafone login servers wordt verstuurd zijn wel versleuteld. Wanneer een klant op de iOS My Vodafone applicatie inlogt, dan kan iemand op hetzelfde WiFi netwerk het verkeer opvangen (‘sniffen’). Als iemand net aan het ‘sniffen’ is terwijl de login wordt uitgevoerd, dan kan de ‘sniffer’ de gebruikersnaam en het wachtwoord van het My Vodafone profiel herleiden. Hiervoor zijn wel speciale tools nodig, dit is niet simpel voor iedereen om uit te voeren en enige kennis is wel vereist.

Het onversleuteld versturen van gegevens via de My Vodafone iOS applicatie had echter nooit mogen gebeuren. Ik wil Dennis Lexis dan ook bedanken voor zijn mail. Vodafone heeft actie ondernomen en de inlog functionaliteit van de onversleutelde iOS applicatie per direct uitgeschakeld. Klanten die inloggen op de geïnstalleerde applicatie krijgen de boodschap te zien dat de applicatie tijdelijk niet beschikbaar is en dat Vodafone aan een oplossing werkt. Parallel daaraan zal Vodafone zo snel mogelijk een nieuwe versleutelde iOS applicatie aanmelden bij Apple. Ondanks het feit dat het verkeer vanuit de Android applicatie versleuteld wordt verstuurd wordt ook de beveiliging van de Android applicatie aangescherpt. Gebruikers van de Android applicatie krijgen dan ook binnen afzienbare tijd een update aangeboden.

Met vriendelijke groet,

Richard Mes
Corporate Affairs
Vodafone Nederland

Waarschuwing per sms

Update 18:30 uur Vodafone stuurt nu proactief via sms ook waarschuwingen naar gebruikers dat de beveiliging van de My Vodafone app wordt verbeterd en tijdelijk niet beschikbaar is. Daarnaast roept Vodafone op je wachtwoord voor de My Vodafone-toegang te wijzigen.

Beste klant, Vodafone verbetert momenteel de beveiliging van de My Vodafone-app. De app is daarom tijdelijk niet beschikbaar. Vodafone adviseert je om het wachtwoord van My Vodafone te wijzigen op www.vodafone.nl/myvodafone.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt 10 april 2012, 16:39
Categorie Providers
Onderwerpen beveiliging, Vodafone

Reacties zijn gesloten voor dit artikel.