Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 82 reacties

De My Vodafone-app voor de iPhone slaat het wachtwoord en het telefoonnummer van gebruikers onversleuteld op, meldt iPhoneclub. Bovendien zou deze informatie over een onversleutelde verbinding worden verstuurd.

Volgens iPhoneclub kunnen de privégegevens die de My Vodafone-app bijhoudt simpel worden uitgelezen, omdat deze onversleuteld op het toestel worden opgeslagen. Het is echter onduidelijk of dat ook kan bij niet-gejailbreakte iPhones; waarschijnlijk is het bestand dan niet toegankelijk. Met de app kunnen Vodafone-gebruikers onder meer hun verbruik inzien en voordeelbundels afsluiten.

Kwalijker is dat de gegevens, zoals wachtwoord en 06-nummer, volgens iPhoneclub onversleuteld via http worden verstuurd. Daardoor kunnen de gegevens worden onderschept wanneer een gebruiker van een niet-beveiligd wifi-netwerk gebruikmaakt of wanneer iemand op een andere manier het netwerkverkeer kan afluisteren, bijvoorbeeld door een man in the middle-aanval.

De Vodafone-logingegevens kunnen onder meer gebruikt worden om op de website van de telco abonnementsgegevens aan te passen en andere privégegevens in te zien. Een woordvoerder van Vodafone was niet bereikbaar voor commentaar.

Update, 15:42: De versie van My Vodafone voor Android maakt voor zover bekend wel verbinding via https, zo heeft Tweakers.net van twee bronnen vernomen. Volgens student Patrick Sindelka wordt de geldigheid van het ssl-certificaat echter niet gecontroleerd, wat een man in the middle-aanval mogelijk maakt.

Update 17:47: Vodafone heeft besloten om de onversleutelde inlogfunctie van de iOS-versie van My Vodafone uit te schakelen. Hierdoor is de applicatie tijdelijk niet te gebruiken. De telecomaanbieder zegt zo snel mogelijk een update uit te zullen brengen waardoor de app alsnog een versleutelde verbinding maakt. Daarnaast belooft Vodafone dat ook de beveiliging van de Android-versie verbeterd zal worden.

My Vodafone voor iPhone

Afbeelding: iPhoneclub

Moderatie-faq Wijzig weergave

Reacties (82)

Reactie Vodafone:

De My Vodafone login gegevens die vanuit de iOS applicatie naar de Vodafone login servers wordt verstuurd zijn niet versleuteld. Gegevens die vanuit de Android applicatie naar de Vodafone login servers wordt verstuurd zijn wel versleuteld. Wanneer een klant op de iOS My Vodafone applicatie inlogt, dan kan iemand op hetzelfde WiFi netwerk het verkeer opvangen (‘sniffen’).

Als iemand net aan het ‘sniffen’ is terwijl de login wordt uitgevoerd, dan kan de ‘sniffer’ de gebruikersnaam en het wachtwoord van het My Vodafone profiel herleiden. Hiervoor zijn wel speciale tools nodig, dit is niet simpel voor iedereen om uit te voeren en enige kennis is wel vereist.

Het onversleuteld versturen van gegevens via de My Vodafone iOS applicatie had echter nooit mogen gebeuren. Ik wil Dennis Lexis dan ook bedanken voor zijn mail.

Vodafone heeft actie ondernomen en de inlog functionaliteit van de onversleutelde iOS applicatie per direct uitgeschakeld. Klanten die inloggen op de geïnstalleerde applicatie krijgen de boodschap te zien dat de applicatie tijdelijk niet beschikbaar is en dat Vodafone aan een oplossing werkt. Parallel daaraan zal Vodafone zo snel mogelijk een nieuwe versleutelde iOS applicatie aanmelden bij Apple.

Ondanks het feit dat het verkeer vanuit de Android applicatie versleuteld wordt verstuurd wordt ook de beveiliging van de Android applicatie aangescherpt. Gebruikers van de Android applicatie krijgen dan ook binnen afzienbare tijd een update aangeboden.

Met vriendelijke groet,
Richard Mes
Corporate Affairs
Vodafone Nederland
Update voor Android kwam net al binnen.
Hmm, inmiddels werkt de app niet meer en staat ie ook niet meer in de app store. Wel slecht dat is gebeurt, bij het ontwikkelen van de app had men hier toch eerder aan moeten denken..
Eigenlijk vreemd dat Apple hier niet op controleert. Zij checken toch elke app die in de store komt op van alles en nog wat. Wel kijken of er ergens penis in staat, maar niet even kijken of het gevoelige data verkeer via een encrypted lijntje gaat.
Maar als je het alleen bij gejailbreakte iPhones ziet dan is het Apple hun probleem toch niet meer..als jij kiest voor een jailbreak moet jij het weten..maar dan heeft Apple er niet veel meer mee te maken.
En hoe zit dit met Android? Of is er geen Vodafone app voor Android?

EDIT:

Sorry mensen, heb er overheen gelezen. Mijn excuus!

[Reactie gewijzigd door joopykoopy op 4 april 2012 15:07]

Het is inderdaad niet alleen een probleem op de iPhone: ook Android heeft dit probleem volgens de persoon die dit ontdekte.

https://twitter.com/#!/Pa...04539039745/photo/1/large
Maar die gegevens gaan wel over een beveiligde verbinding.
Er wordt gecommuniceerd met HTTPS zegt de screenshot. Het probleem is dus niet exact hetzelfde.
Maar de gegevens worden onversleuteld verzonden. Ook is het certificaat v.d. HTTPS verbinding niet geldig.

Gewoon even hier lezen dus: https://twitter.com/#!/PatrickSindelka
Dus HTTPS en tóch onbeveiligd over het netwerk? Hoe had je dat dan weer in gedachte? ;)
Encryptie is leuk tegen sniffers, maar als je de andere kant niet kunt vertrouwen heb je er nog niet veel aan. Grootste gevaar is namelijkd oorgaans niet eens transacties onderweg, maar de ontvanger.

En als je het certificaat niet controleert weet je dus niet of de andere kant wel is wie die zegt die is ...
Volgens Wireshark is het anders gewoon https hier
Ok. Het is duidelijk. De applicatie checkt het vodafone certificaat niet tegen één van de in de telefoon opgeslagen root certificates, of tegen een eigen kopie van het vodafone certificaat. Wel vervelend, maar minder rampzalig.

Er wordt dus gewoon versleuteld. Er is hier gebruik gemaakt van een proxyserver om een MITM uit te voeren, en die proxy biedt een eigen gegenereerd certificaat aan.

Je moet dan nog wel de gebruiker verleiden om een proxy in te stellen of als "owner" van het wifinetwerk de vodafone server te spoofen. Het zal je niet lukken om verkeer af te luisteren.

[Reactie gewijzigd door __fred__ op 4 april 2012 15:45]

Dat is inderdaad al een hele andere insteek dan niet versleuteld. Al is het nog niet helemaal zoals het hoort natuurlijk.
Het is kinderlijk eenvoudig (lees elke scriptkiddie kan het) om een mitm attack uit te voeren zonder dat de gebruiker een proxy in hoeft te stellen. Oa door middel van arp-poisoning.
Het certificaat wordt echter niet gecontroleerd, waardoor een verbinding met het self signed certificaat van zijn sniffer de data gewoon uitleesbaar maakt.

Hier moet je wel man-in-the-middle gaan zitten, gewoon een onbeveiligd netwerk afluisteren zal niet lukken
Die app is er, zoals in de tekst staat is niet bekend of de data bij de Android app wel beveiligd is
Staat in de tekst:
Het is verder onduidelijk of gebruikersgegevens ook op de Android-versie van My Vodafone onveilig worden opgeslagen en verstuurd.
Ja er is een My Vodafone app voor Android, maar heb geen idee hoe veilig deze app nu wel niet is en of daar de passwords in plain text verzonden worden.

Tijdelijk er afgegooit, mocht ie later veilig blijken kan ie er weer op.
Jawel, die is er wel :). Ik heb geen idee of dit bericht dan ook geld voor android, ik hoop het niet :( (ik zit zelf bij vodafone en gebruik de app best vaak.
ik vind dit best schandalig
wat wel weer mooi is is dat er mensen zijn die dit ontdekken zodat vodafone wat aan hun (opzettelijke) fout kunen doen
is hetzelfde als Ziggo die een handleiding online heeft staan hoe je een iphone/ipad je mail laat ophalen (onversleuteld dus je WW en je pass over een verbinding)..

terwijl er wel de mogelijkheid is om versleuteld je email op te halen bij ziggo ..
meestal is dat email adres ook gelijk aan mijnziggo en kan je ook dingen verprutsen dan alleen iemand zijn mail lezen.
Het is werkelijk waar onbegrijpelijk hoe het kan dat programmeurs van een app dat zo maken. Hoe moeilijk is het om een ssl certificaat te gebruiken, zeker voor zon groot bedrijf? Ik neem aan dat op de website wel ingelogged wordt met een beveiligde verbinding.
Te meer omdat my vodafone zelf wel een SSL-certificaat heeft.
Blijkbaar is het toch moeilijker dan gedacht: de geldigheid van het certificaat wordt niet gecontroleerd bij android apps.

Maargoed, het is in iedergeval iets. Een snelle wireshark-afluister-actie is daarmee al een stuk lastiger.
Vraag het maar is aan de overheid, SSL certificaten kunnen best wat problemen opleveren :Y)
Het ssl certificaat is 1 deel. Dit kost misschien een beetje werk.
Het OPSLAAN van usernames en passwords is zelfs nog makkelijker. Een password kan gewoon opgeslagen worden in de beschikbare key-chain, zoals dat ook gebeurt in Mac OS X.
http://iphonedevelopertip...sername-and-password.html

Het is echt ongehoord hoeveel app developers hier niet gewoon naar kijken, of onwetend zijn.

@DeuTeRiuM hierboven
Een wireshark afluister actie is niet lastiger. Het verkrijgen van de gegevens is lastiger ;)

[Reactie gewijzigd door highmastdon op 4 april 2012 16:40]

Dat het versleuteld verstuurd moet worden ben ik absoluut met iedereen hier eens, maar versleuteld opslaan? Op een mobiele telefoon kan ik het me nog voorstellen maar uiteindelijk is de decryption key aanwezig op de telefoon om het ook weer te ontsleutelen dus het is wel een beetje security by obscurity of op z'n minst een vals gevoel van veiligheid.

[Reactie gewijzigd door Argantonis op 4 april 2012 21:16]

Schijnbaar is dit héél moeilijk. |:(

In Nederland is er ook geen enkele provider die POP3/SMTP in SSL aanbiedt ...

Alsof je nog in de tijd van de stenen toetsenborden zit ... 8)7
In Nederland is er ook geen enkele provider die POP3/SMTP in SSL aanbiedt ...
Jawel hoor, XS4ALL doet dat al een tijdje.
http://www.xs4all.nl/klant/helpdesk/email/instellingen/
I stand corrected for XS4ALL. _/-\o_

Nietemin, de gehele KPN-familie (KPN, Hetnet, etc) en Ziggo en ander groten niet. Ik denk dat het desinteresse is.

(Had natuurlijk niet 'geen enkele' moeten stellen want dan vraag je uiteraard terecht om correcties :)

[Reactie gewijzigd door Armin op 5 april 2012 17:29]

Wij bieden dat aan, en vele anderen met ons.
Toevallig is de Vodafone mail wel volledig encrypted :)
Het wordt tijd dat er flinke boetes komen voor bedrijven die klantgegevens onversleuteld opslaan/versturen. In de tijd dat een paswoord je identiteit, sociale netwerk en je financiele gegevens waarborgd kan het echt niet zo zijn dat daar zo onverantwoord mee wordt omgesprongen.
Ik mag hopen dat je myvodafone wachtwoord niet je identiteit, sociale netwerk en financiële gegevens waarborgd.
Als ik inlog in My Vodafone dan kan ik mijn adres wel volledig zien. Dus ook combinatie telefoonnummer en adres. Kan ook abonnementen verlengen ermee en allerlei dingen wijzigen...
Nee joh (ik zit niet bij Vodafone en gebruik Keepass), maar ik denk dat een groot deel van de mensen maar 1 wachtwoord gebruikt. Dat ze dan zelf niet handig bezig zijn, soit, maar dat wil niet zeggen dat Vodafone ze gewoon maar rond mag strooien.
Op zich niet eens een gek idee dat hier boetes voor komen. Misschien iets voor de politiek?

Versleuteld data moeten versturen is toch iets dat goed te controleren is en dat gewoon nalatig genoemd zou kunnen worden als je het niet doet...

Moet Vodafone met haar leveranciers (ik zie triple-it.nl in de screenshot?) ook even afspreken dat zij dit soort boetes mogen betalen lijkt me trouwens.

[Reactie gewijzigd door Sorcerer8472 op 4 april 2012 15:14]

" Misschien iets voor de politiek?"

En vervolgens gaat half Nederland weer zeuren dat we gek worden van de regeldruk....
Bij Vodafone thuis:

Er moet een appje gemaakt worden? Klusje voor de stagiair :P

(Later: ) Het appje moet uitgebreid getest en gecontroleerd worden? Hoezo hij doet het toch?
Ik ben bang dat dit vaak wel de realiteit is....
Ik denk eerder dat dit werk is uitbesteed en dat de opdrachtgever (product manager van Vodafone) geen security requirements heeft opgenomen in de specificatie, maar alleen functionele requirements.

En je gaat natuurlijk geen requirements implementeren waar de opdrachtgever niet om vraagt. (Goed, een fatsoenlijk bedrijf had even in overleg gegaan met de opdrachtgever, maar er zijn natuurlijk ook zat bedrijven die dat niet doen in de hoop een leuke change request binnen te halen).
Als het goed is zou dit niet zo mogen zijn. Dergelijke bedrijven hebben hele strakke inkoopprocedures waar dit nooit doorheen mag kunnen glippen.
Een woordvoerder van Vodafone was niet bereikbaar voor commentaar.
Een woordvoerder van een telefoonprovider die niet bereikbaar is... :X (Kan wel met die brand natuurlijk)

Ik snap niet dat dit tegenwoordig nog kan? Waar komt dit vandaan? Gebrek aan tijd? Gebrek aan ervaring? Wordt het gewoon genegeerd?
Zo dit is een blunder zeg! Het is fijn dat er mensen zijn die dit onderzoeken. Ik vraag me alleen af of dit alleen geld voor de iPhone, maar misschien ook voor Androidtoestellen?

Wat waren die ontwikkelaars eigenlijk aan het denken toen ze dat programma schrijven?
Daarnaast vraag ik me af of Apple uberhaupt kijkt naar beveiliging bij een app...
Hoezo is het Apple's verantwoordelijkheid om na te gaan of er wellicht een stukje tekst cleartext of encrypted naar een server die niet van hen is wordt verstuurd?
Vodafone kan op dit moment niet reageren omdat ze al andere brandjes aan het blussen zijn.

Zonder gekheid: Dit kan natuurlijk echt niet meer. Hoeveel waarschuwingen en nieuwsberichten die hier vergelijkbaar aan zijn, zijn er nodig om in de boel te versleutelen.
En het blijft maar doorregenen met dit soort berichten.

Helemaal mee eens met wat Vandro zegt... flinke boetes voor deze jongens (hoewel... dat dan wel weer in de abo-prijs wordt doorberekend/verrekend).

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True