Honderden Android-apps zijn kwetsbaar voor hackers
Van de duizend meest gedownloade gratis apps in de Google Play Store is 68 procent kwetsbaar voor aanvallen van hackers. Tot die vaststelling komen onderzoekers van FireEye Mobile Security.
De apps zijn gevoelig voor zogenaamde man-in-the-middle-aanvallen (MITM). Bij zo’n aanval positioneert een hacker zich tussen je telefoon en de server waarmee je toestel communiceert. Zo kan hij gegevens onderscheppen zoals gebruikersnamen en wachtwoorden, maar hij kan je verbinding ook naar een andere bestemming sturen (zoals een kopie van je echte bankwebsite) of kwaadaardige code in je telefoon injecteren.
[related_article id=”161920″]
De meeste apps gebruiken het https-protocol om te communiceren met servers op het web. In tegenstelling tot http valt https in theorie niet zomaar te onderscheppen. Http is gebaseerd op de veilige SSL- en TLS-code, maar foutief gebruik van de SSL-bibliotheken in Android kan applicaties weer kwetsbaar maken.
Certificaat
Het team van FireEye speurrde naar drie veelvoorkomende kwetsbaarheden in de onderzochte Android-apps. Ze keken eerst of de app in kwestie de digitale certificaten van de server wel nakijkt. Zonder de verificatie van zo’n certificaat kan een hacker zich eenvoudig voordoen als de server, om zo data te stelen. Van de duizend onderzochte applicaties verifieerden er 448 de certificaten niet.
Vervolgens onderzochten de specialisten of de apps nakijken of de hostnaam van de server waarmee ze verbinden wel klopt. Zodra er een gecontroleerd certificaat is binnengehaald, moet de app immers nagaan of dat certificaat wel van de juiste server komt. Anders kan een hacker een certificaat van een vertrouwde server buitmaken en gebruiken. In het certificaat zit de bijhorende hostnaam verwerkt, maar vijftig apps van de duizend keken niet naar de hostname bij het aangaan van een verbinding.
Fouten
Tot slot keek FireEye welke apps SSL-fouten negeerden. WebKit, gebruikt voor het renderen van serverpagina’s, moet reageren op alle fouten in een beveiligde verbinding. Anders kan de hacker via de MITM-aanval fouten uitbuiten om zo toegang te krijgen tot data op je telefoon. 285 apps negeerden SSL-fouten, en zetten zo de deur open voor misbruik.
FireEye stelde vast dat 68 procent van de duizend populairste apps kwetsbaar is. Het bedrijf deed vervolgens een steekproef van 10.000 willekeurige applicaties van de Play Store, en berekende dat 40 procent van die apps geen certificaten verifieert, 7 procent kijkt niet naar hostnames en 13 procent laat SSL-fouten voor wat ze zijn.
De firma bracht alle ontwikkelaars van apps met een lek erin op de hoogte. Zij beloofden allemaal om de kwetsbaarheden in de volgende update van hun apps aan te pakken.
Van de duizend meest gedownloade gratis apps in de Google Play Store is 68 procent kwetsbaar voor aanvallen van hackers. Tot die vaststelling komen onderzoekers van FireEye Mobile Security.
De apps zijn gevoelig voor zogenaamde man-in-the-middle-aanvallen (MITM). Bij zo’n aanval positioneert een hacker zich tussen je telefoon en de server waarmee je toestel communiceert. Zo kan hij gegevens onderscheppen zoals gebruikersnamen en wachtwoorden, maar hij kan je verbinding ook naar een andere bestemming sturen (zoals een kopie van je echte bankwebsite) of kwaadaardige code in je telefoon injecteren.
[related_article id=”161920″]
De meeste apps gebruiken het https-protocol om te communiceren met servers op het web. In tegenstelling tot http valt https in theorie niet zomaar te onderscheppen. Http is gebaseerd op de veilige SSL- en TLS-code, maar foutief gebruik van de SSL-bibliotheken in Android kan applicaties weer kwetsbaar maken.
Certificaat
Het team van FireEye speurrde naar drie veelvoorkomende kwetsbaarheden in de onderzochte Android-apps. Ze keken eerst of de app in kwestie de digitale certificaten van de server wel nakijkt. Zonder de verificatie van zo’n certificaat kan een hacker zich eenvoudig voordoen als de server, om zo data te stelen. Van de duizend onderzochte applicaties verifieerden er 448 de certificaten niet.
Vervolgens onderzochten de specialisten of de apps nakijken of de hostnaam van de server waarmee ze verbinden wel klopt. Zodra er een gecontroleerd certificaat is binnengehaald, moet de app immers nagaan of dat certificaat wel van de juiste server komt. Anders kan een hacker een certificaat van een vertrouwde server buitmaken en gebruiken. In het certificaat zit de bijhorende hostnaam verwerkt, maar vijftig apps van de duizend keken niet naar de hostname bij het aangaan van een verbinding.
Fouten
Tot slot keek FireEye welke apps SSL-fouten negeerden. WebKit, gebruikt voor het renderen van serverpagina’s, moet reageren op alle fouten in een beveiligde verbinding. Anders kan de hacker via de MITM-aanval fouten uitbuiten om zo toegang te krijgen tot data op je telefoon. 285 apps negeerden SSL-fouten, en zetten zo de deur open voor misbruik.
FireEye stelde vast dat 68 procent van de duizend populairste apps kwetsbaar is. Het bedrijf deed vervolgens een steekproef van 10.000 willekeurige applicaties van de Play Store, en berekende dat 40 procent van die apps geen certificaten verifieert, 7 procent kijkt niet naar hostnames en 13 procent laat SSL-fouten voor wat ze zijn.
De firma bracht alle ontwikkelaars van apps met een lek erin op de hoogte. Zij beloofden allemaal om de kwetsbaarheden in de volgende update van hun apps aan te pakken.