'My Vodafone-app iOS verstuurt logindata onversleuteld' - update 2

De My Vodafone-app voor de iPhone slaat het wachtwoord en het telefoonnummer van gebruikers onversleuteld op, meldt iPhoneclub. Bovendien zou deze informatie over een onversleutelde verbinding worden verstuurd.

Volgens iPhoneclub kunnen de privégegevens die de My Vodafone-app bijhoudt simpel worden uitgelezen, omdat deze onversleuteld op het toestel worden opgeslagen. Het is echter onduidelijk of dat ook kan bij niet-gejailbreakte iPhones; waarschijnlijk is het bestand dan niet toegankelijk. Met de app kunnen Vodafone-gebruikers onder meer hun verbruik inzien en voordeelbundels afsluiten.

Kwalijker is dat de gegevens, zoals wachtwoord en 06-nummer, volgens iPhoneclub onversleuteld via http worden verstuurd. Daardoor kunnen de gegevens worden onderschept wanneer een gebruiker van een niet-beveiligd wifi-netwerk gebruikmaakt of wanneer iemand op een andere manier het netwerkverkeer kan afluisteren, bijvoorbeeld door een man in the middle-aanval.

De Vodafone-logingegevens kunnen onder meer gebruikt worden om op de website van de telco abonnementsgegevens aan te passen en andere privégegevens in te zien. Een woordvoerder van Vodafone was niet bereikbaar voor commentaar.

Update, 15:42: De versie van My Vodafone voor Android maakt voor zover bekend wel verbinding via https, zo heeft Tweakers.net van twee bronnen vernomen. Volgens student Patrick Sindelka wordt de geldigheid van het ssl-certificaat echter niet gecontroleerd, wat een man in the middle-aanval mogelijk maakt.

Update 17:47: Vodafone heeft besloten om de onversleutelde inlogfunctie van de iOS-versie van My Vodafone uit te schakelen. Hierdoor is de applicatie tijdelijk niet te gebruiken. De telecomaanbieder zegt zo snel mogelijk een update uit te zullen brengen waardoor de app alsnog een versleutelde verbinding maakt. Daarnaast belooft Vodafone dat ook de beveiliging van de Android-versie verbeterd zal worden.

My Vodafone voor iPhone

Afbeelding: iPhoneclub

Reacties (82)

SiXel 4 april 2012 19:18

Reactie Vodafone:

De My Vodafone login gegevens die vanuit de iOS applicatie naar de Vodafone login servers wordt verstuurd zijn niet versleuteld. Gegevens die vanuit de Android applicatie naar de Vodafone login servers wordt verstuurd zijn wel versleuteld. Wanneer een klant op de iOS My Vodafone applicatie inlogt, dan kan iemand op hetzelfde WiFi netwerk het verkeer opvangen (‘sniffen’).

Als iemand net aan het ‘sniffen’ is terwijl de login wordt uitgevoerd, dan kan de ‘sniffer’ de gebruikersnaam en het wachtwoord van het My Vodafone profiel herleiden. Hiervoor zijn wel speciale tools nodig, dit is niet simpel voor iedereen om uit te voeren en enige kennis is wel vereist.

Het onversleuteld versturen van gegevens via de My Vodafone iOS applicatie had echter nooit mogen gebeuren. Ik wil Dennis Lexis dan ook bedanken voor zijn mail.

Vodafone heeft actie ondernomen en de inlog functionaliteit van de onversleutelde iOS applicatie per direct uitgeschakeld. Klanten die inloggen op de geïnstalleerde applicatie krijgen de boodschap te zien dat de applicatie tijdelijk niet beschikbaar is en dat Vodafone aan een oplossing werkt. Parallel daaraan zal Vodafone zo snel mogelijk een nieuwe versleutelde iOS applicatie aanmelden bij Apple.

Ondanks het feit dat het verkeer vanuit de Android applicatie versleuteld wordt verstuurd wordt ook de beveiliging van de Android applicatie aangescherpt. Gebruikers van de Android applicatie krijgen dan ook binnen afzienbare tijd een update aangeboden.

Met vriendelijke groet,
Richard Mes
Corporate Affairs
Vodafone Nederland

Twilightnl @SiXel • 4 april 2012 23:30

Update voor Android kwam net al binnen.

cmndr_adama 4 april 2012 15:37

Hmm, inmiddels werkt de app niet meer en staat ie ook niet meer in de app store. Wel slecht dat is gebeurt, bij het ontwikkelen van de app had men hier toch eerder aan moeten denken..

zonoskar @cmndr_adama • 4 april 2012 16:15

Eigenlijk vreemd dat Apple hier niet op controleert. Zij checken toch elke app die in de store komt op van alles en nog wat. Wel kijken of er ergens penis in staat, maar niet even kijken of het gevoelige data verkeer via een encrypted lijntje gaat.

Daejji @zonoskar • 4 april 2012 16:41

Maar als je het alleen bij gejailbreakte iPhones ziet dan is het Apple hun probleem toch niet meer..als jij kiest voor een jailbreak moet jij het weten..maar dan heeft Apple er niet veel meer mee te maken.

joopykoopy 4 april 2012 15:00

En hoe zit dit met Android? Of is er geen Vodafone app voor Android?

EDIT:

Sorry mensen, heb er overheen gelezen. Mijn excuus!

[Reactie gewijzigd door joopykoopy op 23 juli 2024 00:46]

Rprp @joopykoopy • 4 april 2012 15:03

Het is inderdaad niet alleen een probleem op de iPhone: ook Android heeft dit probleem volgens de persoon die dit ontdekte.

https://twitter.com/#!/Pa...04539039745/photo/1/large

3raser @Rprp • 4 april 2012 15:14

Maar die gegevens gaan wel over een beveiligde verbinding.
Er wordt gecommuniceerd met HTTPS zegt de screenshot. Het probleem is dus niet exact hetzelfde.

Rprp @3raser • 4 april 2012 15:20

Maar de gegevens worden onversleuteld verzonden. Ook is het certificaat v.d. HTTPS verbinding niet geldig.

Gewoon even hier lezen dus: https://twitter.com/#!/PatrickSindelka

Verwijderd @Rprp • 4 april 2012 18:37

Dus HTTPS en tóch onbeveiligd over het netwerk? Hoe had je dat dan weer in gedachte?

Armin

Mobiele netwerken

@Verwijderd • 4 april 2012 20:22

Encryptie is leuk tegen sniffers, maar als je de andere kant niet kunt vertrouwen heb je er nog niet veel aan. Grootste gevaar is namelijkd oorgaans niet eens transacties onderweg, maar de ontvanger.

En als je het certificaat niet controleert weet je dus niet of de andere kant wel is wie die zegt die is ...

Slurpgeit @Rprp • 4 april 2012 15:17

Volgens Wireshark is het anders gewoon https hier

__fred__ @Slurpgeit • 4 april 2012 15:42

Ok. Het is duidelijk. De applicatie checkt het vodafone certificaat niet tegen één van de in de telefoon opgeslagen root certificates, of tegen een eigen kopie van het vodafone certificaat. Wel vervelend, maar minder rampzalig.

Er wordt dus gewoon versleuteld. Er is hier gebruik gemaakt van een proxyserver om een MITM uit te voeren, en die proxy biedt een eigen gegenereerd certificaat aan.

Je moet dan nog wel de gebruiker verleiden om een proxy in te stellen of als "owner" van het wifinetwerk de vodafone server te spoofen. Het zal je niet lukken om verkeer af te luisteren.

[Reactie gewijzigd door __fred__ op 23 juli 2024 00:46]

Slurpgeit @__fred__ • 4 april 2012 15:57

Dat is inderdaad al een hele andere insteek dan niet versleuteld. Al is het nog niet helemaal zoals het hoort natuurlijk.

martijnve @__fred__ • 4 april 2012 15:59

Het is kinderlijk eenvoudig (lees elke scriptkiddie kan het) om een mitm attack uit te voeren zonder dat de gebruiker een proxy in hoeft te stellen. Oa door middel van arp-poisoning.

dennizzz

@Slurpgeit • 4 april 2012 15:39

Het certificaat wordt echter niet gecontroleerd, waardoor een verbinding met het self signed certificaat van zijn sniffer de data gewoon uitleesbaar maakt.

Hier moet je wel man-in-the-middle gaan zitten, gewoon een onbeveiligd netwerk afluisteren zal niet lukken

Svennie @joopykoopy • 4 april 2012 15:03

Die app is er, zoals in de tekst staat is niet bekend of de data bij de Android app wel beveiligd is

Ryan_ @joopykoopy • 4 april 2012 15:04

Staat in de tekst:

Het is verder onduidelijk of gebruikersgegevens ook op de Android-versie van My Vodafone onveilig worden opgeslagen en verstuurd.

Wild Cat @joopykoopy • 4 april 2012 15:08

Ja er is een My Vodafone app voor Android, maar heb geen idee hoe veilig deze app nu wel niet is en of daar de passwords in plain text verzonden worden.

Tijdelijk er afgegooit, mocht ie later veilig blijken kan ie er weer op.

Verwijderd @joopykoopy • 4 april 2012 15:03

Jawel, die is er wel

. Ik heb geen idee of dit bericht dan ook geld voor android, ik hoop het niet

(ik zit zelf bij vodafone en gebruik de app best vaak.

zoepersooi 4 april 2012 14:58

ik vind dit best schandalig
wat wel weer mooi is is dat er mensen zijn die dit ontdekken zodat vodafone wat aan hun (opzettelijke) fout kunen doen

Djaro @zoepersooi • 4 april 2012 16:25

is hetzelfde als Ziggo die een handleiding online heeft staan hoe je een iphone/ipad je mail laat ophalen (onversleuteld dus je WW en je pass over een verbinding)..

terwijl er wel de mogelijkheid is om versleuteld je email op te halen bij ziggo ..
meestal is dat email adres ook gelijk aan mijnziggo en kan je ook dingen verprutsen dan alleen iemand zijn mail lezen.

DeuTeRiuM @zoepersooi • 4 april 2012 15:13

Het is werkelijk waar onbegrijpelijk hoe het kan dat programmeurs van een app dat zo maken. Hoe moeilijk is het om een ssl certificaat te gebruiken, zeker voor zon groot bedrijf? Ik neem aan dat op de website wel ingelogged wordt met een beveiligde verbinding.

__fred__ @DeuTeRiuM • 4 april 2012 15:20

Te meer omdat my vodafone zelf wel een SSL-certificaat heeft.

DeuTeRiuM @__fred__ • 4 april 2012 15:48

Blijkbaar is het toch moeilijker dan gedacht: de geldigheid van het certificaat wordt niet gecontroleerd bij android apps.

Maargoed, het is in iedergeval iets. Een snelle wireshark-afluister-actie is daarmee al een stuk lastiger.

TJHeuvel @DeuTeRiuM • 4 april 2012 15:14

Vraag het maar is aan de overheid, SSL certificaten kunnen best wat problemen opleveren

highmastdon @DeuTeRiuM • 4 april 2012 16:37

Het ssl certificaat is 1 deel. Dit kost misschien een beetje werk.
Het OPSLAAN van usernames en passwords is zelfs nog makkelijker. Een password kan gewoon opgeslagen worden in de beschikbare key-chain, zoals dat ook gebeurt in Mac OS X.
http://iphonedevelopertip...sername-and-password.html

Het is echt ongehoord hoeveel app developers hier niet gewoon naar kijken, of onwetend zijn.

@DeuTeRiuM hierboven
Een wireshark afluister actie is niet lastiger. Het verkrijgen van de gegevens is lastiger

[Reactie gewijzigd door highmastdon op 23 juli 2024 00:46]

Argantonis @highmastdon • 4 april 2012 21:16

Dat het versleuteld verstuurd moet worden ben ik absoluut met iedereen hier eens, maar versleuteld opslaan? Op een mobiele telefoon kan ik het me nog voorstellen maar uiteindelijk is de decryption key aanwezig op de telefoon om het ook weer te ontsleutelen dus het is wel een beetje security by obscurity of op z'n minst een vals gevoel van veiligheid.

[Reactie gewijzigd door Argantonis op 23 juli 2024 00:46]

Armin

Mobiele netwerken

@DeuTeRiuM • 4 april 2012 20:19

Schijnbaar is dit héél moeilijk.

In Nederland is er ook geen enkele provider die POP3/SMTP in SSL aanbiedt ...

Alsof je nog in de tijd van de stenen toetsenborden zit ...

ASS-Ware @Armin • 4 april 2012 20:41

In Nederland is er ook geen enkele provider die POP3/SMTP in SSL aanbiedt ...

Jawel hoor, XS4ALL doet dat al een tijdje.
http://www.xs4all.nl/klant/helpdesk/email/instellingen/

Armin

Mobiele netwerken

@ASS-Ware • 5 april 2012 17:29

I stand corrected for XS4ALL. $_/-\o_$

Nietemin, de gehele KPN-familie (KPN, Hetnet, etc) en Ziggo en ander groten niet. Ik denk dat het desinteresse is.

(Had natuurlijk niet 'geen enkele' moeten stellen want dan vraag je uiteraard terecht om correcties

[Reactie gewijzigd door Armin op 23 juli 2024 00:46]

Gert @Armin • 5 april 2012 00:56

Wij bieden dat aan, en vele anderen met ons.

Ajunne @Armin • 5 april 2012 08:23

Toevallig is de Vodafone mail wel volledig encrypted

Vandro 4 april 2012 15:03

Het wordt tijd dat er flinke boetes komen voor bedrijven die klantgegevens onversleuteld opslaan/versturen. In de tijd dat een paswoord je identiteit, sociale netwerk en je financiele gegevens waarborgd kan het echt niet zo zijn dat daar zo onverantwoord mee wordt omgesprongen.

Gert @Vandro • 4 april 2012 15:20

Ik mag hopen dat je myvodafone wachtwoord niet je identiteit, sociale netwerk en financiële gegevens waarborgd.

Sorcerer8472

Mobiele netwerken
Vodafone
Provider

@Gert • 4 april 2012 15:21

Als ik inlog in My Vodafone dan kan ik mijn adres wel volledig zien. Dus ook combinatie telefoonnummer en adres. Kan ook abonnementen verlengen ermee en allerlei dingen wijzigen...

Vandro @Gert • 4 april 2012 15:35

Nee joh (ik zit niet bij Vodafone en gebruik Keepass), maar ik denk dat een groot deel van de mensen maar 1 wachtwoord gebruikt. Dat ze dan zelf niet handig bezig zijn, soit, maar dat wil niet zeggen dat Vodafone ze gewoon maar rond mag strooien.

Sorcerer8472

Mobiele netwerken
Vodafone
Provider

@Vandro • 4 april 2012 15:13

Op zich niet eens een gek idee dat hier boetes voor komen. Misschien iets voor de politiek?

Versleuteld data moeten versturen is toch iets dat goed te controleren is en dat gewoon nalatig genoemd zou kunnen worden als je het niet doet...

Moet Vodafone met haar leveranciers (ik zie triple-it.nl in de screenshot?) ook even afspreken dat zij dit soort boetes mogen betalen lijkt me trouwens.

[Reactie gewijzigd door Sorcerer8472 op 23 juli 2024 00:46]

Verwijderd @Sorcerer8472 • 4 april 2012 17:48

" Misschien iets voor de politiek?"

En vervolgens gaat half Nederland weer zeuren dat we gek worden van de regeldruk....

Oerdond3r 4 april 2012 15:05

Bij Vodafone thuis:

Er moet een appje gemaakt worden? Klusje voor de stagiair

(Later: ) Het appje moet uitgebreid getest en gecontroleerd worden? Hoezo hij doet het toch?

Xenophoben @Oerdond3r • 4 april 2012 15:08

Ik ben bang dat dit vaak wel de realiteit is....

Verwijderd @Oerdond3r • 4 april 2012 17:51

Ik denk eerder dat dit werk is uitbesteed en dat de opdrachtgever (product manager van Vodafone) geen security requirements heeft opgenomen in de specificatie, maar alleen functionele requirements.

En je gaat natuurlijk geen requirements implementeren waar de opdrachtgever niet om vraagt. (Goed, een fatsoenlijk bedrijf had even in overleg gegaan met de opdrachtgever, maar er zijn natuurlijk ook zat bedrijven die dat niet doen in de hoop een leuke change request binnen te halen).

Dennisdn

Apple
Apple iPhone

@Verwijderd • 4 april 2012 18:25

Als het goed is zou dit niet zo mogen zijn. Dergelijke bedrijven hebben hele strakke inkoopprocedures waar dit nooit doorheen mag kunnen glippen.

Steffannnn 4 april 2012 15:01

Een woordvoerder van Vodafone was niet bereikbaar voor commentaar.

Een woordvoerder van een telefoonprovider die niet bereikbaar is...

(Kan wel met die brand natuurlijk)

Ik snap niet dat dit tegenwoordig nog kan? Waar komt dit vandaan? Gebrek aan tijd? Gebrek aan ervaring? Wordt het gewoon genegeerd?

South_Styler 4 april 2012 15:02

Zo dit is een blunder zeg! Het is fijn dat er mensen zijn die dit onderzoeken. Ik vraag me alleen af of dit alleen geld voor de iPhone, maar misschien ook voor Androidtoestellen?

Wat waren die ontwikkelaars eigenlijk aan het denken toen ze dat programma schrijven?
Daarnaast vraag ik me af of Apple uberhaupt kijkt naar beveiliging bij een app...

Verwijderd @South_Styler • 4 april 2012 16:21

Hoezo is het Apple's verantwoordelijkheid om na te gaan of er wellicht een stukje tekst cleartext of encrypted naar een server die niet van hen is wordt verstuurd?

Hann1BaL 4 april 2012 15:02

Vodafone kan op dit moment niet reageren omdat ze al andere brandjes aan het blussen zijn.

Zonder gekheid: Dit kan natuurlijk echt niet meer. Hoeveel waarschuwingen en nieuwsberichten die hier vergelijkbaar aan zijn, zijn er nodig om in de boel te versleutelen.

kiddingguy 4 april 2012 15:09

En het blijft maar doorregenen met dit soort berichten.

Helemaal mee eens met wat Vandro zegt... flinke boetes voor deze jongens (hoewel... dat dan wel weer in de abo-prijs wordt doorberekend/verrekend).

Op dit item kan niet meer gereageerd worden.

'My Vodafone-app iOS verstuurt logindata onversleuteld' - update 2

Lees meer

Reacties (82)

Sorteer op:

Weergave: