'Groot beveiligingslek in populaire Android-apps'

Door: Elmar Rekers Elmar | 22 oktober 2012 14:10

Apps & Software

Internetcriminelen kunnen op relatief eenvoudige wijze persoonlijke gegevens van Android-gebruikers afluisteren. Dat blijkt uit een Duits onderzoek.

De Duitse onderzoekers hebben zo'n 13.000 apps uit de Play Store onderzocht, waarvan er 1.000 over 'serieuze beveiligingslekken' blijken te beschikken. Bij de meeste apps bleek de SSL-verbinding niet voldoende beveiligd, waardoor ze vatbaar zijn voor zogenoemde man in the middle-aanvallen.

Persoonlijke gegevens als wachtwoorden, e-mailadressen en zelfs bank- en creditcardgegevens zouden hierdoor voor het oprapen liggen voor internetcriminelen. Dit omdat de data niet goed versleuteld is. De onderzoekers, die zich enkel op het Android OS gericht hebben, namen 100 van de apps verder onder de loep. Hierbij wist men bij 41 apps gevoelige data van de gebruiker te onderscheppen.

Beveiliging omzeilen

In plaats van zich te houden aan de opgelegde SSL-certificaten, was het voor de onderzoekers mogelijk om bij de apps een eigen SSL-certificaat op te dringen. Hierdoor kon de beveiliging eenvoudig worden omzeild, waardoor ongemerkt persoonlijke data vanuit de app kon worden onderschept.

Om welke apps het precies gaat, maken de onderzoekers niet bekend. Wel zouden er zeer populaire applicaties tussen zitten die ruim 40 miljoen keer zijn gedownload. Om te controleren of een app goed beveiligd is, zullen de onderzoekers binnenkort hun web-applicatie MalloDroid lanceren.

Update: Android-ontwikkelaar Mathijs Vogelzang laat tegenover Webwereld weten dat de genoemde kwetsbaarheid uit het onderzoek 'platform-onafhankelijk' is. Hoewel het onderzoek zich enkel richt op Android, zouden ook iOS-apps volgens hem te kampen kunnen hebben met het beveiligingslek. "Ik ben er zeker van dat er ook bij Apple onveilige implementaties tussen zitten", aldus Vogelzang.