Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google-app-authenticatie op Android kan worden gekaapt

In verscheidene versies van het mobiele besturingssysteem Android blijken Google-diensten een authenticatieverzoek onversleuteld te versturen, waardoor dit onderschept kan worden. Hierdoor kunnen hackers persoonlijke informatie stelen.

Onderzoekers van de universiteit van Ulm kwamen erachter dat Google-diensten, zoals de agenda en contacten, in Android een token voor gebruikersauthenticatie versturen via een http-verbinding, in plaats van via https. Door het onderscheppen van dit zogeheten authToken kan toegang worden verkregen tot persoonlijke informatie, zoals de contactenlijst of andere data die bij het account hoort. Authenticatie verloopt normaal gesproken via de ClientLogin-api van Google en is bedoeld om gebuikers toegang te verlenen tot Google-diensten. Ook applicaties die door ontwikkelaars zijn gemaakt kunnen ClientLogin gebruiken, zodat er misschien veel meer applicaties zijn waarbij persoonlijke gegevens kunnen worden onderschept.

Het blijkt dat de meeste Android-versies de benodigde authenticatietokens onversleuteld versturen, maar in de nieuwste versies, 2.3.4 voor smartphones en 3.0 voor tablets, blijkt wel van https gebruikgemaakt te worden. Overigens maken nog steeds niet alle diensten gebruik van https; bij het synchroniseren van data met een Picasa-account worden tokens nog steeds met http verstuurd. Ook beschikken vooralsnog weinig gebruikers over de nieuwste versie van het mobiele OS. Vooral bij smartphones kan het lang duren voordat fabrikanten hun toestellen van een nieuwe Android-release voorzien.

De onderzoekers verkregen de authTokens door met Wireshark packets te sniffen die over een onbeveiligd wifi-netwerk werden verstuurd. Zij raden daarom aan om geen gebruik te maken van wifi-netwerken die niet beveiligd zijn, totdat het beveiligingslek is gedicht. Daarnaast kunnen Android-ontwikkelaars voor gebruikersauthenticatie ook gebruikmaken van oAuth, een alternatieve authenticatiemethode.

Eerder bleek al dat verscheidene Android-applicaties hun informatie onversleuteld verzenden. Nu blijkt dat dit waarschijnlijk vooral te wijten is aan de authenticatiemethode die de internetgigant heeft ontwikkeld om gebruikers toegang te geven tot Google-diensten.

ClientLogin tokens ClientLogin tokens

Door

Admin Mobile / Nieuwsposter

67 Linkedin Google+

Submitter: begintmeta

Reacties (67)

Wijzig sortering
Er wordt op gereageerd alsof het de beveiligingslek van de eeuw is. Terwijl dit alleen geld op een onbeveiligd netwerk. Hyves en Facebook waren tot voor kort ook nog alleen maar via http mobiel bereiken. (Ja met inbegrip van IOS en W7) En onbeveiligde verbindingen zijn nog maar amper te vinden in nederland. (Behalve op Hotspots dan natuurlijk) Zoiezo vind ik het als je met een onbeveiligd Wifi point verbind het toch je eigen verantwoording. En met het updaten van android moet je niet de schuld bij Google leggen maar bij de fabrikanten. Deze kiezen om gebruik te maken van het besturingssysteem android en willen graag hun eigen tintje er aan geven. Alleen door dat eigen tintje dragen zijn wel zelf de verantwoordelijkheid voor het aanpassen van iedere android update. Wat niet iedere fabrikant doet. Ook vraag ik me af tot in hoeverre deze applicaties in android zelf verweven zitten.
tja, is überhaupt wél iets veilig?
Is de tweakers Android App eigenlijk goed beveiligd?

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*