344 Android-apps zijn kwetsbaar voor man-in-the-middle-aanvallen
Onderzoekers hebben een kwetsbaarheid gevonden in Android. Honderden Android-apps verzuimen te controleren of het gebruikte SSL-certificaat legitiem is. Cybercriminelen kunnen de fout misbruiken om man-in-the-middle aanvallen uit te voeren en data van gebruikers te onderscheppen.
Het probleem is ontdekt door onderzoekers van het CERT Coordination Center (CERT-CC) van de Carnegie Mellon Universiteit. Apps gebruiken een SSL-certificaat om het verkeer tussen de app en de server van de ontwikkelaar te versleutelen. Indien de authenticiteit van een dergelijk certificaat niet wordt gecontroleerd kunnen cybercriminelen vervalste certificaten gebruiken om gebruikers om de tuin te leiden.
SSL-certificaten
Het gebruik van SSL-certificaten voorkomt dat onderschepte data kan worden ingezien door een eventuele aanvaller indien deze wordt onderschept. De data kan worden onderschept via een man-in-the-middle aanval, waarbij de cybercrimineel zijn systeem tussen de gebruiker en de server plaatst en hierdoor het dataverkeer kan onderscheppen.
Het CERT-CC heeft de werkwijze van Android-apps gecontroleerd met behulp van de tool 'Tapioca' van Will Dormann, een beveiligingsonderzoeker bij CERT-CC. Tapioca staat voor Transparent Proxy Capture Appliance en maakt het mogelijk de wijze waarop Android-apps SSL-certificaten controleren te onderzoeken. 344 Android-apps kwamen niet door de test heen.
Meer over
Lees ook
Bijna 350 nieuwe malafide Android apps ontdekt per uur
Ongeveer 72% van alle smartphones ter wereld draaien op een Android-besturingssysteem, blijkt uit cijfers van StatCounter. In het eerste kwartaal van 2017 hebben experts van G DATA meer dan 750.000 nieuwe kwaadaardige apps voor Android ontdekt. Dit toont de toenemende dreiging voor deze besturingssystemen. De experts van G DATA telden 3.246.286 n1
ENISA publiceert richtlijnen voor veilige mobiele apps
Het European Agency for Network and Information Security (ENISA) publiceert een vernieuwde versie van de Smartphone Development Guidelines. In het document wordt uiteengezet hoe ontwikkelaars mobiele applicaties veiliger kunnen maken en kunnen beschermen tegen cyberaanvallen. In het vernieuwde rapport zijn nieuwe secties toegevoegd over recente o1
Bedrijven besteden te weinig aandacht aan veilig mobiel werken
93% van de bedrijven vindt het belangrijk dat onbevoegden geen toegang hebben tot bedrijfsinformatie. Het is dan ook opvallend dat in de praktijk slechts 19% daadwerkelijk grip heeft op veilig mobiel werken. Ongeveer 70% verwacht dat het in hun organisatie niet zo’n vaart zal lopen met mobiele “bedrijfsinformatieongevallen”, terwijl de praktijk an1