344 Android-apps zijn kwetsbaar voor man-in-the-middle-aanvallen
Onderzoekers hebben een kwetsbaarheid gevonden in Android. Honderden Android-apps verzuimen te controleren of het gebruikte SSL-certificaat legitiem is. Cybercriminelen kunnen de fout misbruiken om man-in-the-middle aanvallen uit te voeren en data van gebruikers te onderscheppen.
Het probleem is ontdekt door onderzoekers van het CERT Coordination Center (CERT-CC) van de Carnegie Mellon Universiteit. Apps gebruiken een SSL-certificaat om het verkeer tussen de app en de server van de ontwikkelaar te versleutelen. Indien de authenticiteit van een dergelijk certificaat niet wordt gecontroleerd kunnen cybercriminelen vervalste certificaten gebruiken om gebruikers om de tuin te leiden.
SSL-certificaten
Het gebruik van SSL-certificaten voorkomt dat onderschepte data kan worden ingezien door een eventuele aanvaller indien deze wordt onderschept. De data kan worden onderschept via een man-in-the-middle aanval, waarbij de cybercrimineel zijn systeem tussen de gebruiker en de server plaatst en hierdoor het dataverkeer kan onderscheppen.
Het CERT-CC heeft de werkwijze van Android-apps gecontroleerd met behulp van de tool 'Tapioca' van Will Dormann, een beveiligingsonderzoeker bij CERT-CC. Tapioca staat voor Transparent Proxy Capture Appliance en maakt het mogelijk de wijze waarop Android-apps SSL-certificaten controleren te onderzoeken. 344 Android-apps kwamen niet door de test heen.
Meer over
Lees ook
Google neemt mobiele beveiliger Divide over
Google neemt Divide over. Divide is een bedrijf dat beveiligingsoplossingen ontwikkeld voor zakelijke gebruikers. Het is niet duidelijk hoeveel Google voor het beveiligingsbedrijf betaald. Divide levert een gelijknamige app die een Android-apparaat voorziet van twee gescheiden werkruimtes: één privé ruimte en één werk-gerelateerde ruimte. Alle dat1
Facebook geeft gebruikers meer mogelijkheden privacy te beschermen
Facebook voert een aantal verbeteringen door aan zijn beveiliging. Het sociale netwerk wil gebruikers meer controle geven over de persoonlijke informatie die zij delen met apps waar via een Facebook-account wordt ingelogd. Het sociale netwerk wil apps die ongevraagd berichten op de tijdlijn van Facebook-gebruikers plaatsen aan banden leggen. Gebru1
Volg InfosecurityMagazine.nl vanaf uw smartphone of tablet
Wist u dat u InfosecurityMagazine.nl ook mobiel kunt volgen? De website past zich namelijk automatisch aan op iedere webbrowser en kan hierdoor ook op uw smartphone of tablet worden bekeken De nieuwe website van Infosecurity Magazine is voorzien van een 'responsive template'. De website past zich automatisch aan op het apparaat dat u gebruikt. Dit1