344 Android-apps zijn kwetsbaar voor man-in-the-middle-aanvallen

android

Onderzoekers hebben een kwetsbaarheid gevonden in Android. Honderden Android-apps verzuimen te controleren of het gebruikte SSL-certificaat legitiem is. Cybercriminelen kunnen de fout misbruiken om man-in-the-middle aanvallen uit te voeren en data van gebruikers te onderscheppen.

Het probleem is ontdekt door onderzoekers van het CERT Coordination Center (CERT-CC) van de Carnegie Mellon Universiteit. Apps gebruiken een SSL-certificaat om het verkeer tussen de app en de server van de ontwikkelaar te versleutelen. Indien de authenticiteit van een dergelijk certificaat niet wordt gecontroleerd kunnen cybercriminelen vervalste certificaten gebruiken om gebruikers om de tuin te leiden.

SSL-certificaten

Het gebruik van SSL-certificaten voorkomt dat onderschepte data kan worden ingezien door een eventuele aanvaller indien deze wordt onderschept. De data kan worden onderschept via een man-in-the-middle aanval, waarbij de cybercrimineel zijn systeem tussen de gebruiker en de server plaatst en hierdoor het dataverkeer kan onderscheppen.

Het CERT-CC heeft de werkwijze van Android-apps gecontroleerd met behulp van de tool 'Tapioca' van Will Dormann, een beveiligingsonderzoeker bij CERT-CC. Tapioca staat voor Transparent Proxy Capture Appliance en maakt het mogelijk de wijze waarop Android-apps SSL-certificaten controleren te onderzoeken. 344 Android-apps kwamen niet door de test heen.

Meer over
Lees ook
Aantal mobiele malware infecties met 96% gestegen

Aantal mobiele malware infecties met 96% gestegen

Mobiele apparaten worden steeds vaker getroffen door malware. Het aantal mobiele malware infecties is in de eerst helft van 2016 met maar liefst 96% gestegen en bereikte in april een nieuw record. Dit blijkt uit het Nokia Threat Intelligence Report - H1 2016 van het Finse Nokia. Vooral smartphones worden relatief vaak geïnfecteerd met malware. Sma1

Driekwart van de zakelijke cloud apps voldoet niet aan de EU General Data Protection Regulation

Driekwart van de zakelijke cloud apps voldoet niet aan de EU General Data Protection Regulation

Driekwart van de cloud gebaseerde bedrijfsapplicaties voldoet niet aan de EU General Data Protection Regulation, waarvan de naleving vanaf 25 mei 2018 wordt gecontroleerd. Op dit gebied is van ook veel werk aan de winkel om zeker te stellen dat bedrijven voldoen aan de eisen die in deze Europese regelgeving worden gesteld. Dit blijkt uit onderzoek1

‘Apparaten vormen zwakke plek in beveiliging van bedrijven’

‘Apparaten vormen zwakke plek in beveiliging van bedrijven’

Apparaten blijken een zwakke plek te zijn in de beveiliging van het Nederlandse bedrijfsleven. 29 procent van de Nederlandse bedrijven heeft in 2015 met een beveiligingsprobleem te kampen gehad dat verband hield met bedrijfshardware zoals smartphones of computers. Dat blijkt uit onderzoek van Redshift Research in opdracht van technologiebedrijf HP1