Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 50 reacties

Gegevens die via de Android-apps voor Facebook, Twitter of Google Calendar over het internet worden verstuurd, worden niet versleuteld, ontdekte een Amerikaanse hoogleraar. Op publieke wifi-hotspots is dat een risico.

Gebrek aan sslDan Wallach, universitair hoofddocent computerwetenschappen in Houston, ontdekte dat bepaalde Android-apps gegevens onversleuteld verzenden. De ontdekking werd gedaan toen Wallach tijdens zijn lessen netwerkverkeer van en naar een Android-telefoon liet sniffen met Wireshark en de tcp/udp-proxy Mallory.

Daarbij bleken de sociale-netwerkapps onbeveiligd gegevens te versturen. Het is nog onbekend of het bij Twitter enkel om de officiële client gaat of om alle apps die de Twitter-api gebruiken. In het geval van Twitter betekende het gebrek aan versleuteling dat alle verzonden tweets konden worden bekeken; dat zou bij privéberichten een privacyprobleem kunnen opleveren. Omdat Twitter gebruikmaakt van oauth was login-informatie niet te achterhalen.

Het is onduidelijk of dat bij Facebook wel kan; die app gebruikt in ieder geval geen oauth. Opvallend genoeg werd een instelling in de smartphone van de hoogleraar, waardoor al het netwerkverkeer met ssl zou moeten worden versleuteld, genegeerd. Ook Google Calendar synchroniseerde zijn gegevens zonder encryptie; Google Voice- en Gmail-gegevens werden weer wel versleuteld. Het gebrek aan een beveiligde verbinding maakt dat gegevens op publieke wifi-hotspots kunnen worden afgeluisterd. Ook bestaat het gevaar van man in the middle-aanvallen.

Update, zaterdag 13:56: Tweaker basst85 ontdekte dat het inloggen op Facebook wel via ssl geschiedt.

Gerelateerde content

Alle gerelateerde content (24)
Moderatie-faq Wijzig weergave

Reacties (50)

Ik vind dat ze toch wel wat meer tijd mogen steken in het versleutelen van de informatie want het zijn niet de enigste die gegevens onversleuteld versturen.
Zolang 'the masses' beveiliging niet belangrijk vinden of naief aannemen dat het allemaal wel goed geregeld zal zijn, zullen weinig bedrijven veel geld steken in de beveiliging van de producten.

Voorbeeld is bijvoorbeeld de vele apps in de markets. Mensen vinden de functionaliteit het belangrijkst en daarna wat het kost. Bij uitzondering heeft een gebruiker een onderzoekje gedaan naar de beveiliging / betrouwbaarheid van de aanbieder etc.
Facebook zou zelf natuurlijk ook TLS kunnen vereisen voor alle toegang.
Dan doe je wel de aanname dat Facebook jouw privacy belangrijk vind. Niet echt een aanname die veel hout snijd als je bedenkt op welk economisch model Facebook is gebaseerd, namelijk het verkopen van jouw privacy gevoelige gegevens aan derden...

Kortom wat is de incentive van Facebook om dit af te dwingen? waarom zouden ze het geld er in steken om dit soort dingen in te bouwen/te eisen? Sterker nog, er is een incentive om dat vooral niet te doen, want als je beveiliging in bouwt, loop je met die beveiliging zo nu en dan tegen problemen aan en dan krijgen je gebruikers meldingen over dingen die onveilig zouden kunnen zijn. Dat willen ze nu juist zo veel mogelijk voorkomen. Voor Facebook is het van belang dat gebruikers zo min mogelijk over privacy en beveiliging nadenken, anders zouden ze zich wel eens kunnen realiseren waar Facebook mee bezig is.
Wacht maar tot er een paar keer wat persoonsgegevens uitgelekt raken, wedden dat dan privacy ineens hoog op de agenda staat? Zoals zo vaak het geval is, moet het eerst eens goed mis gaan voor er ingegrepen wordt.
Dat gebeurt toch met de regelmaat van de klok?
Als er nu eens een controle werd uitgevoerd op Apps die in de store komen, juist om dergelijke dingen te checken... Mssn, niet gewenst, maar veel mensen beseffen het niet eens hoe onveilig zoiets zou kunnen zijn...
als nu eens het hele http gebeuren werd vervangen door standaaard tls ? -
enige 'nadeel' is dat er dan wat browsers (en met name die van MS) geupdate moeten worden.
Langs niet voor alles is encryptie nodig. Je zou dus tijd en geld steken in zaken die niet nodig zijn. Daarnaast ondersteunt IE gewoon TLS.
Opvallend genoeg werd een instelling in de smartphone van de hoogleraar, waardoor al het netwerkverkeer met ssl zou moeten worden versleuteld, genegeerd.

Dat lijkt me een fout in het OS, niet van de app.
Het lijkt mij dat het de taak van de applicatie is om deze instelling bij het OS op te vragen en vervolgens hierop de juiste actie te ondernemen.
Het is niet zo dat het OS daar verantwoordelijkheid voor draagt. Het kan op z'n best een default aangeven, en dat is dat. Maar ook dat is vooral eerder SDK-gebonden.

Alles wat een App doet, is de verantwoordelijkheid van die specifieke App. Een OS kan wel melding maken van onbeveiligde verbindingen, dat dan weer wel.
Ik ben intensief android gebuiker en kan je vertellen dat Android zon setting niet heeft. Het is ook helemaal niet de verantwoordelijkheid van het OS. hoe zou je het vinden als MS ineens besluit dat mensen niet meer met jouw site mogen connecten zonder ssl?

Dit is iets voor de applicatie maker en / of de dienstaanbieder. Zoals hierboven geoppert zou het goed zijn als facebook en co hun diensten gewoon alleen ngo via ssl aanbieden.

HTC Sense heeft een optie om de communicatie tussen sense en facebook te encrypten. Andere applicaties doen hier uiteraard niets mee aangezien het een sense settings is waar ze niet eens bij kunnen.

Vind het dus helemaal niet opvallend maar wel raar dat het in het artikel staat.

[Reactie gewijzigd door martijnve op 24 februari 2011 19:33]

Dit is iets voor de applicatie maker en / of de dienstaanbieder. Zoals hierboven geoppert zou het goed zijn als facebook en co hun diensten gewoon alleen ngo via ssl aanbieden.

Eens met martijnve, het ligt niet aan het OS maar aan de dienstenprovider.
De applicatie ontwikkelaar zou "gedwongen" moeten worden om de app via een beveiligde verbinding te laten werken..
Gelukkig heeft de Friendstream app wel een SSL optie als je je Twitter account aanmeld.
HTC Sense op de Desire HD.

[Reactie gewijzigd door stijnos1991 op 24 februari 2011 18:43]

Een optie? Slechte zaak. ;) Moet gewoon standaard zijn.
Je moet het altijd nog uit kunnen zetten. Ik bepaal zelf wel of ik m'n voordeur op slot doe heh ;) Bovendien kunnen SSL-poorten hier en daar geblokkeerd zijn en dan "moet" je wel.

Maar standaard aan, dat wel.

[Reactie gewijzigd door _Thanatos_ op 24 februari 2011 21:07]

Je moet het altijd nog uit kunnen zetten.
Vind ik niet. Volgens mij staan gmail en hotmail ook geen niet-TLS login toe.
Noem 1 reden waarom je dat uit zou willen zetten.
Omdat de door de beveiligde verbinding gebruikte poorten dichtgetimmerd zijn in het netwerk waarmee je verbinding hebt misschien?
Omdat de door de beveiligde verbinding gebruikte poorten dichtgetimmerd zijn in het netwerk waarmee je verbinding hebt misschien?
Dan is het probleem niet de beveiligde poorten, maar de onveilige opzet. Het is relatief makkelijk om aan bestaande protocollen over veelgebruikte poorten zonder beveiliging STARTTLS toe te voegen. Hierdoor kan je toch beveiliging afdwingen en ben je voor een zeer groot deel van de massa bereikbaar. Overigens zijn er weinig providers die TCP poort 443 (HTTPS) blokkeren.

Het is niet voor niets dat alle grote providers van webdiensten verwachten dat elke verbinding beveiligd is.

[Reactie gewijzigd door The Zep Man op 25 februari 2011 07:14]

Overigens zijn er weinig providers die TCP poort 443 (HTTPS) blokkeren.
Ik had het over bijv bedrijfsnetwerken. Een netwerk dat je wel vertrouwd, maar waar een paranoïde security-admin werkt.
Hmm wordt er ook niet helderder door dat er zoveel verschillende mogelijkheden zijn om contact te hebben met sociale netwerken.
Ik heb op m'n desire Facebook aan friendstream gekoppeld. Gebruikt die dan bijvoorbeeld een Facebook api of zit dat weer compleet anders. :s Aangezien dat volgens mij iets van HTC sense of Android zelf is.
De Facebook plugin voor HTC Friendstream gebruikt waarschijlnijk (net als de officiele Facebook app) de Facebook API.

Volgens de documentatie ondersteund die trouwens wel oauth en lijken alle voorbeelden https-verbindingen voor te schrijven, dus dat het zo mis gaat is wel suf.
Peeps van HTC kan wel gebruik maken van een beveiligde verbinding. Dat is een kwestie van in je instellingen dat aanvinken.

Facebook, zover ik dat dan kan zien, niet. Maar misschien zit dat wel intern? Bij Peeps kan je als gebruiker dat zelf instellen iig.
Heet gewoon Peep hoor.
Als het zeker wilt zijn van een SSL-verbinding, dan ga je gewoon via de normale websites. Dan kun je in je browser zien of je HTTPS aan het gebruiken bent, en of die verbinding goed verzorgd is (geen ongeldige/verlopen certs dus).

Van een app moet je maar geloven dat ie SSL gebruikt als je dat aanvinkt. Het is echt een kwestie van vertrouwen, want het is feitelijk ontzettend moeilijk om het netwerkverkeer van een telefoon te monitoren.
Het "grappige" van Facebook is dat https://www.facebook.com prima werkt, maar op het moment dat je ook maar iets aanklikt hij vrolijk terug huppelt naar http://www.facebook.com
Dus ik vermoedt dat de apps helemaal de weg kwijtraken...
Kan je aanvinken in je account privacy settings op fb zelf.
Is op IOS en/of Symbian deze verbinding dan wel beveiligd?
Jup... is volgens mij verplicht volgens de iOS guidelines...
Waarom bieden die sociale netwerkdiensten überhaupt non-encrypted web services aan ?
Goh wat een ontdekking... gebruik je toch een app die wel SSL ondersteund. Zijn er genoeg, voor Twitter althans.

[Reactie gewijzigd door xnpu9977 op 24 februari 2011 19:24]

Dit heeft niets met hardware of OSsen te maken, maar met ontwikkelaars die geen zin hebben SSL en/of TLS te implementeren. OAuth is leuk, maar alleen 'veilig' in combinatie met gecodeerde payloads.
Met alle negativiteit van Facebook de laatste tijd is het wel weer eens een ogenopenaar om te zien dat FB niet de enigste is die privacy problemen heeft. Maar dat het zo makkelijk is voor de mensen die de apps maken om beveiliging te negeren is onbegrijpelijk. Nou weet ik wel mooi dat als ik iets verzend naar iemand via open wifi netwerk, dat ik zeker van ben dat het SSL is! En niet de apps gebruiken op mn android!

[Reactie gewijzigd door Lightmanone1984 op 24 februari 2011 20:34]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True