344 Android-apps zijn kwetsbaar voor man-in-the-middle-aanvallen

  1. 4 sep 2014
  2. 0 reacties

android

Onderzoekers hebben een kwetsbaarheid gevonden in Android. Honderden Android-apps verzuimen te controleren of het gebruikte SSL-certificaat legitiem is. Cybercriminelen kunnen de fout misbruiken om man-in-the-middle aanvallen uit te voeren en data van gebruikers te onderscheppen.

Het probleem is ontdekt door onderzoekers van het CERT Coordination Center (CERT-CC) van de Carnegie Mellon Universiteit. Apps gebruiken een SSL-certificaat om het verkeer tussen de app en de server van de ontwikkelaar te versleutelen. Indien de authenticiteit van een dergelijk certificaat niet wordt gecontroleerd kunnen cybercriminelen vervalste certificaten gebruiken om gebruikers om de tuin te leiden.

SSL-certificaten

Het gebruik van SSL-certificaten voorkomt dat onderschepte data kan worden ingezien door een eventuele aanvaller indien deze wordt onderschept. De data kan worden onderschept via een man-in-the-middle aanval, waarbij de cybercrimineel zijn systeem tussen de gebruiker en de server plaatst en hierdoor het dataverkeer kan onderscheppen.

Het CERT-CC heeft de werkwijze van Android-apps gecontroleerd met behulp van de tool 'Tapioca' van Will Dormann, een beveiligingsonderzoeker bij CERT-CC. Tapioca staat voor Transparent Proxy Capture Appliance en maakt het mogelijk de wijze waarop Android-apps SSL-certificaten controleren te onderzoeken. 344 Android-apps kwamen niet door de test heen.

Meer over
Lees ook
2,3 miljoen nieuwe stukjes Android malware in 2015

2,3 miljoen nieuwe stukjes Android malware in 2015

Voor het Android platform zijn in 2015 in totaal 2,3 miljoen nieuwe malware-samples gevonden. Dit is fors meer dan in 2014, toen het aantal nog uitkwam op ruim 1,5 miljoen nieuwe samples. Naar verwachting zet de stijging in 2016 door. Dit meldt beveiligingsbedrijf G DATA in het G DATA Mobile Malware Rapport. Bijna 63% van alle Europese smartphoneg1

G DATA lanceert VPN-functie in Mobile Internet Security

G DATA lanceert VPN-functie in Mobile Internet Security

G DATA maakt bekend een VPN-functie te integreren in zijn nieuwe Mobile Internet Security voor Android en iOS. Hiermee kunnen gebruikers via een virtueel privénetwerk (VPN) surfen op internet via openbare wifi-netwerken, zonder het risico te lopen dat hun wachtwoorden, bezorgadressen of accountgegevens gestolen kunnen worden. Mobile Internet Secur1

Een op de vijf bedrijven zet mobiele security in

Een op de vijf bedrijven zet mobiele security in

Slechts 21% van organisaties in de EMEA-regio gebruikt voorzieningen voor het beveiligen van mobiele apparaten als smartphones en tablets. Wel populaire beveiligingsmethoden zijn antivirus (91%), firewall (85%) en backups (77%). Ook antispam en authenticatie van gebruikers zijn veelvoorkomend, met een adoptiegraad van respectievelijk 64% en 58%. D1