344 Android-apps zijn kwetsbaar voor man-in-the-middle-aanvallen

  1. 4 sep 2014
  2. 0 reacties

android

Onderzoekers hebben een kwetsbaarheid gevonden in Android. Honderden Android-apps verzuimen te controleren of het gebruikte SSL-certificaat legitiem is. Cybercriminelen kunnen de fout misbruiken om man-in-the-middle aanvallen uit te voeren en data van gebruikers te onderscheppen.

Het probleem is ontdekt door onderzoekers van het CERT Coordination Center (CERT-CC) van de Carnegie Mellon Universiteit. Apps gebruiken een SSL-certificaat om het verkeer tussen de app en de server van de ontwikkelaar te versleutelen. Indien de authenticiteit van een dergelijk certificaat niet wordt gecontroleerd kunnen cybercriminelen vervalste certificaten gebruiken om gebruikers om de tuin te leiden.

SSL-certificaten

Het gebruik van SSL-certificaten voorkomt dat onderschepte data kan worden ingezien door een eventuele aanvaller indien deze wordt onderschept. De data kan worden onderschept via een man-in-the-middle aanval, waarbij de cybercrimineel zijn systeem tussen de gebruiker en de server plaatst en hierdoor het dataverkeer kan onderscheppen.

Het CERT-CC heeft de werkwijze van Android-apps gecontroleerd met behulp van de tool 'Tapioca' van Will Dormann, een beveiligingsonderzoeker bij CERT-CC. Tapioca staat voor Transparent Proxy Capture Appliance en maakt het mogelijk de wijze waarop Android-apps SSL-certificaten controleren te onderzoeken. 344 Android-apps kwamen niet door de test heen.

Meer over
Lees ook
ESET helpt Youfone-gebruikers mobiele en vaste apparaten te beveiligen

ESET helpt Youfone-gebruikers mobiele en vaste apparaten te beveiligen

Abonnee's van Youfone kunnen voortaan voor twee euro per maand twee apparaten beveiligen met ESET Multi Device Security Pack-software. Deze beschermt smartphones, desktops en tablets tegen onder andere phishing, malware, spam en diefstal. De twee partijen hebben hiervoor een partnerovereenkomst afgesloten. Smartphones spelen een grote rol in het d1

G DATA presenteert mobiele internetbeveiliging op Mobile World Congres

G DATA presenteert mobiele internetbeveiliging op Mobile World Congres

“Mobile is everything” is het thema van het Mobile World Congress 2016 in Barcelona. Chatten, surfen en internetbankieren gebeurt steeds vaker via mobiele apparaten. Onderzoek van De Nederlandsche Bank wijst uit dat één op de vier Nederlanders in 2014 gebruik maakte van mobiel bankieren, terwijl ook in België zit mobiel bankieren in de lift. Het b1

Meer dan 9 op de 10 Android apparaten draait op verouderde software

Meer dan 9 op de 10 Android apparaten draait op verouderde software

Ruim 90% van de Android smartphones en tablets draaien op een verouderde versie van het Android besturingssysteem. De apparaten zijn hierdoor kwetsbaar voor bekende beveiligingsgaten die in nieuwere Android versies zijn gedicht. Dit blijkt uit onderzoek van Duo Security, dat in totaal een miljoen mobiele apparaten heeft onderzocht. Het onderzoek g1