344 Android-apps zijn kwetsbaar voor man-in-the-middle-aanvallen
Onderzoekers hebben een kwetsbaarheid gevonden in Android. Honderden Android-apps verzuimen te controleren of het gebruikte SSL-certificaat legitiem is. Cybercriminelen kunnen de fout misbruiken om man-in-the-middle aanvallen uit te voeren en data van gebruikers te onderscheppen.
Het probleem is ontdekt door onderzoekers van het CERT Coordination Center (CERT-CC) van de Carnegie Mellon Universiteit. Apps gebruiken een SSL-certificaat om het verkeer tussen de app en de server van de ontwikkelaar te versleutelen. Indien de authenticiteit van een dergelijk certificaat niet wordt gecontroleerd kunnen cybercriminelen vervalste certificaten gebruiken om gebruikers om de tuin te leiden.
SSL-certificaten
Het gebruik van SSL-certificaten voorkomt dat onderschepte data kan worden ingezien door een eventuele aanvaller indien deze wordt onderschept. De data kan worden onderschept via een man-in-the-middle aanval, waarbij de cybercrimineel zijn systeem tussen de gebruiker en de server plaatst en hierdoor het dataverkeer kan onderscheppen.
Het CERT-CC heeft de werkwijze van Android-apps gecontroleerd met behulp van de tool 'Tapioca' van Will Dormann, een beveiligingsonderzoeker bij CERT-CC. Tapioca staat voor Transparent Proxy Capture Appliance en maakt het mogelijk de wijze waarop Android-apps SSL-certificaten controleren te onderzoeken. 344 Android-apps kwamen niet door de test heen.
Meer over
Lees ook
PayPal gaat betalingsverkeer vanaf iPhones laten autoriseren met vingerafdruk
PayPal wil betalingsverkeer van de iPhone en iPad gaan beveiligen met behulp van vingerafdrukken. Het bedrijf wil hiervoor de vingerafdrukscanner Touch ID gaan gebruiken, die in de iPhone 5S is ingebouwd. Dit hebben PayPal-medewerkers op Apple's developers conferentie WWDC gemeld (via Forbes). Apple introduceerde vorige week iOS 8, de opvolger van1
Include Security: 'Android-app Outlook.com slaat e-mailberichten onversleuteld op'
De beveiliging van de Android-app Outlook.com is niet op orde. De app lijkt weliswaar berichten te versleutelen, maar dit blijkt in de praktijk niet te kloppen. Include Security waarschuwt dat data van gebruikers hierdoor gevaar loopt. Include Security waarschuwt in een blogpost dat e-mailberichten door de Outlook.com app onversleuteld op de SD-ka1
Authentificatie wordt door bedrijven steeds meer omarmd
Bedrijven maken steeds vaker gebruik van sterke authentificatie. Zowel authentificatie op mobiele apparaten als cloud-gebaseerde authentificatie-oplossingen zijn steeds populairder. Dit blijkt uit het Global Annual Authentication Survey 2014 van SafeNet. 37 procent van de organisaties gebruikt sterke authenticatie nu voor een meerderheid van de we1