Enkele veelgebruikte Android-apps zijn vatbaar voor man-in-the-middle-aanvallen bij een ssl-verbinding. Dat concluderen Duitse onderzoekers uit eigen research. Bovendien blijken apps als Facebook en Gmail vatbaar voor aanvallen via geldige, maar verkeerde ssl-certificaten.
De onderzoekers noemen geen enkele app bij naam, maar de drie grootste apps met grote gaten in de beveiliging hebben tussen 30 en 150 miljoen gebruikers, zo vermelden de onderzoekers van de Leibniz Universiteit in Hannover in hun paper. De gevolgen kunnen verstrekkend zijn: via een man-in-the-middle-aanval kunnen gegevens als Facebook-logins, creditcardgegevens en het adresboek van de gebruiker worden onderschept.
De gaten zitten in de implementatie van ssl; zo checken sommige apps de ssl-certificaten niet, waardoor ook ssl-certificaten die door de onderzoekers zijn ondertekend geaccepteerd worden. Ssl-certificaten horen alleen vertrouwd te worden als ze door een Certifcate Authority ondertekend zijn.
Naast de gaten in de ssl-beveiliging bleken ook weinig apps 'ssl-pinning' te ondersteunen. Met ssl-pinning accepteert de app alleen een door de ontwikkelaar goedgekeurd certificaat voor ssl. Dat kan, omdat een app vaak maar met een of enkele beveiligde servers communiceert en bijvoorbeeld een Dropbox-app een geldig certificaat voor Gmail niet hoeft te accepteren.
Door het ontbreken van ssl-pinning blijven apps vatbaar als een man-in-the-middle-aanval uitgevoerd wordt met een geldig, maar verkeerd certificaat. Dit kleinere beveiligingsgat had onder meer geëxploiteerd kunnen worden na een hack als die bij bij certificaatautoriteit Diginotar vorig jaar.
Alleen Twitter heeft ssl-pinning, onder meer Facebook en alle apps van Google zoals Play Store en Gmail ondersteunen dat niet. Ook Dropbox, Foursquare en Hotmail hebben geen support voor ssl-pinning. Het beveiligingsgat is kleiner dan de andere, omdat bijvoorbeeld browsers ssl-pinning niet kunnen ondersteunen: de gebruiker moet daarop kunnen inloggen op veel verschillende diensten.
In totaal bleken van de 13.000 onderzochte apps ongeveer 1000 een ssl-beveiligingsgat te hebben. Daarvan hebben de onderzoekers er honderd handmatig verder onderzocht. Er komt volgens geruchten betere beveiliging in Android 4.2, al zullen de lekken in apps daarmee niet worden aangepakt. De onderzoekers hebben hun onderzoek gericht op Android, omdat het onderzoek daarop makkelijker gaat dan op bijvoorbeeld iOS of Windows Phone. Bovendien draaien de meeste smartphones momenteel op Googles mobiele platform.