Veelgebruikte Android-apps kunnen gegevens lekken door ssl-gaten
Enkele veelgebruikte Android-apps zijn vatbaar voor man-in-the-middle-aanvallen bij een ssl-verbinding. Dat concluderen Duitse onderzoekers uit eigen research. Bovendien blijken apps als Facebook en Gmail vatbaar voor aanvallen via geldige, maar verkeerde ssl-certificaten.
De onderzoekers noemen geen enkele app bij naam, maar de drie grootste apps met grote gaten in de beveiliging hebben tussen 30 en 150 miljoen gebruikers, zo vermelden de onderzoekers van de Leibniz Universiteit in Hannover in hun paper. De gevolgen kunnen verstrekkend zijn: via een man-in-the-middle-aanval kunnen gegevens als Facebook-logins, creditcardgegevens en het adresboek van de gebruiker worden onderschept.
De gaten zitten in de implementatie van ssl; zo checken sommige apps de ssl-certificaten niet, waardoor ook ssl-certificaten die door de onderzoekers zijn ondertekend geaccepteerd worden. Ssl-certificaten horen alleen vertrouwd te worden als ze door een Certifcate Authority ondertekend zijn.
Naast de gaten in de ssl-beveiliging bleken ook weinig apps 'ssl-pinning' te ondersteunen. Met ssl-pinning accepteert de app alleen een door de ontwikkelaar goedgekeurd certificaat voor ssl. Dat kan, omdat een app vaak maar met een of enkele beveiligde servers communiceert en bijvoorbeeld een Dropbox-app een geldig certificaat voor Gmail niet hoeft te accepteren.
Door het ontbreken van ssl-pinning blijven apps vatbaar als een man-in-the-middle-aanval uitgevoerd wordt met een geldig, maar verkeerd certificaat. Dit kleinere beveiligingsgat had onder meer geëxploiteerd kunnen worden na een hack als die bij bij certificaatautoriteit Diginotar vorig jaar.
Alleen Twitter heeft ssl-pinning, onder meer Facebook en alle apps van Google zoals Play Store en Gmail ondersteunen dat niet. Ook Dropbox, Foursquare en Hotmail hebben geen support voor ssl-pinning. Het beveiligingsgat is kleiner dan de andere, omdat bijvoorbeeld browsers ssl-pinning niet kunnen ondersteunen: de gebruiker moet daarop kunnen inloggen op veel verschillende diensten.
In totaal bleken van de 13.000 onderzochte apps ongeveer 1000 een ssl-beveiligingsgat te hebben. Daarvan hebben de onderzoekers er honderd handmatig verder onderzocht. Er komt volgens geruchten betere beveiliging in Android 4.2, al zullen de lekken in apps daarmee niet worden aangepakt. De onderzoekers hebben hun onderzoek gericht op Android, omdat het onderzoek daarop makkelijker gaat dan op bijvoorbeeld iOS of Windows Phone. Bovendien draaien de meeste smartphones momenteel op Googles mobiele platform.
Reacties (33)
ik zal eens kijken of ik 't op iOS kan reproduceren, ik vermoed eigelijk van wel. (zelfde dev team per slot van rekening voor de facebook en gmail apps)En hoe zit dit bij de concurrenten dan? Windows phone en ios? is het makkelijk automatisch toe te voegen door Google of zijn het de ontwikkelaars die dit beter moeten doen?
Google moet het voor haar eigen apps (gmail, google play) toevoegen. Maar dat geld ook voor de individuele ontwikkelaars van Facebook, etc, etc.
Het is geen fout van Android ansich, dus Google kan het niet achteraf automatisch toevoegen.
Ik vind de kop daarom niet correct en zelfs wat suggestief. Het is getest op Android, waarschijnlijk omdat de onderzoekers daar eenvoudig snel hun testtooltjes op konden laden. Maar als bijvoorbeeld een Dropbox problemen heeft op Android, dan zit er een redelijke kans in dat het probleem net zo groot is op iOS en WP.
Binck
ICS Cards
Paypal
E-Bay
Allemaal vatbaar voor mitm via ongeldige certificaten
Edit: De link naar de paper is trouwens dood.
[Reactie gewijzigd door BombaAriba op maandag 22 oktober 2012 10:35]
.vooral als het bedrijf in kwestie niet reageert, of beloftes maakt en vervolgens de deadlines niet nakomt. Beide situaties komen helaas maar al te vaak voor.Hoewel dat niet genoemd is, zal dat waarschijnlijk wel het geval zijn geweest. Echter, door het bericht te publiceren (en dus het nieuws te halen), bouw je druk op voor het bedrijf om het probleem op te lossen. Gebeurd wel vaker
(Edit: Dat ikzelf het artikel maar half lees, en dat er wel degelijk een probleem is met apps die de certificaten niet goed controleren daargelaten...)
[Reactie gewijzigd door Oerdond3r op maandag 22 oktober 2012 14:39]
SLL pinning is nog veiliger omdat de app dan maar één certificaat vertrouwd, en dat is die van zijn provider. Hier komt dan geen Certificate Authority aan te pas.
[Reactie gewijzigd door Oerdond3r op maandag 22 oktober 2012 14:26]
Ik kan mij trouwens niet voorstellen dat Google de lekken niet gedicht heeft. Een recente xss lek werd snel gefixed (link) maar daar lees op Tweakers weer niks over...
Een tip waarderen we altijd als je iets nieuwswaardigs tegenkomt! Verder zijn we niet terughoudend om te publiceren over ernstige lekken die snel worden gefixt, die bijvoorbeeld hier.Een recente xss lek werd snel gefixed (link) maar daar lees op Tweakers weer niks over...
Waarom zou dit makkelijker zijn?De onderzoekers hebben hun onderzoek gericht op Android, omdat het onderzoek daarop makkelijker gaat dan op bijvoorbeeld iOS of Windows Phone.
Voor een man in the middle moet je alleen ergens tussen de verbinding zitten op het netwerk, dat heeft niks met het apparaat te maken, kan net zo goed een koelkast of magnetron zijn.
Volgens het artikel hebben de onderzoekers zich gericht op Andriod omdat er nog niet een dergelijk onderzoek is gedaan bij Andriod. Daartoe hebben ze Mallodriod App ontwikkeld die gebouwd is op Androguard.Waarom zou dit makkelijker zijn?
Kortom mogelijkerwijs hebben praktische redenen een rol gespeeld bij de keuze voor OS-omgeving, maar dat is (volgens mij) niet expliciet gemaakt.
Kwa oplossingen stellen de auteurs dat er meerdere alternatieven zijn en dat alleen een stand-alone oplossing geen aanpassing van het OS vereist. Mallodriod App icm Androguard is een standalone oplossing.
[Reactie gewijzigd door olivierh op maandag 22 oktober 2012 10:52]
dan ook niet terecht. Je wilt natuurlijk niet voor elke ssl-verbinding een certificaat waarschuwing, dus daar zijn die authorities handig bij. Maar als je een self-signed cert gebruikt, zoals ik op mijn eigen (mail)server, dan wil ik zelf beslissen of ik dat certificaat vetrouw of niet. Dus niet standaard blokkeren omdat die self-signed is. Als ik maar weer een waarschuwing krijg als het certificaat is veranderd.Ssl-certificaten horen alleen vertrouwd te worden als ze door een Certifcate Authority ondertekend zijn.
Of denk ik dan te makkelijk..
Lijkt me i.i.g. geen issue van Android itself. Ik ga ff Googlen op SSL pinning
EDIT: hier een duidelijk verhaal over SSL pinning:
http://blog.lumberlabs.co...rs-should-care-about.html
[Reactie gewijzigd door TheNymf op maandag 22 oktober 2012 12:05]
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Android Tablets Samsung Websites en communities Mobiele telefoons Google Sony Microsoft Games Politiek en recht
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
