Veelgebruikte Android-apps kunnen gegevens lekken door ssl-gaten

Enkele veelgebruikte Android-apps zijn vatbaar voor man-in-the-middle-aanvallen bij een ssl-verbinding. Dat concluderen Duitse onderzoekers uit eigen research. Bovendien blijken apps als Facebook en Gmail vatbaar voor aanvallen via geldige, maar verkeerde ssl-certificaten.

De onderzoekers noemen geen enkele app bij naam, maar de drie grootste apps met grote gaten in de beveiliging hebben tussen 30 en 150 miljoen gebruikers, zo vermelden de onderzoekers van de Leibniz Universiteit in Hannover in hun paper. De gevolgen kunnen verstrekkend zijn: via een man-in-the-middle-aanval kunnen gegevens als Facebook-logins, creditcardgegevens en het adresboek van de gebruiker worden onderschept.

De gaten zitten in de implementatie van ssl; zo checken sommige apps de ssl-certificaten niet, waardoor ook ssl-certificaten die door de onderzoekers zijn ondertekend geaccepteerd worden. Ssl-certificaten horen alleen vertrouwd te worden als ze door een Certifcate Authority ondertekend zijn.

Naast de gaten in de ssl-beveiliging bleken ook weinig apps 'ssl-pinning' te ondersteunen. Met ssl-pinning accepteert de app alleen een door de ontwikkelaar goedgekeurd certificaat voor ssl. Dat kan, omdat een app vaak maar met een of enkele beveiligde servers communiceert en bijvoorbeeld een Dropbox-app een geldig certificaat voor Gmail niet hoeft te accepteren.

Door het ontbreken van ssl-pinning blijven apps vatbaar als een man-in-the-middle-aanval uitgevoerd wordt met een geldig, maar verkeerd certificaat. Dit kleinere beveiligingsgat had onder meer geëxploiteerd kunnen worden na een hack als die bij bij certificaatautoriteit Diginotar vorig jaar.

Alleen Twitter heeft ssl-pinning, onder meer Facebook en alle apps van Google zoals Play Store en Gmail ondersteunen dat niet. Ook Dropbox, Foursquare en Hotmail hebben geen support voor ssl-pinning. Het beveiligingsgat is kleiner dan de andere, omdat bijvoorbeeld browsers ssl-pinning niet kunnen ondersteunen: de gebruiker moet daarop kunnen inloggen op veel verschillende diensten.

In totaal bleken van de 13.000 onderzochte apps ongeveer 1000 een ssl-beveiligingsgat te hebben. Daarvan hebben de onderzoekers er honderd handmatig verder onderzocht. Er komt volgens geruchten betere beveiliging in Android 4.2, al zullen de lekken in apps daarmee niet worden aangepakt. De onderzoekers hebben hun onderzoek gericht op Android, omdat het onderzoek daarop makkelijker gaat dan op bijvoorbeeld iOS of Windows Phone. Bovendien draaien de meeste smartphones momenteel op Googles mobiele platform.

Door Arnoud Wokke

Redacteur

Feedback • 22-10-2012 10:3033

22-10-2012 • 10:30

33 Linkedin

Lees meer

Toepassing moet botsingen bij telefoongebruik tijdens het lopen voorkomen Nieuws van 15 april 2013
Google zet versleuteld zoeken in Chrome 25 standaard aan Nieuws van 20 januari 2013
Onderzoeker zet vraagtekens bij Europese https-regels Nieuws van 29 december 2012
Vodafone introduceert gratis cloudopslagdienst Nieuws van 5 december 2012
IETF maakt van HTTP Strict Transport Security-protocol een webstandaard Nieuws van 25 november 2012
'Google voorziet Android 4.2 van meer beveiligingsopties' Nieuws van 18 oktober 2012
Google gaat Android-toestellen scannen op malware Nieuws van 13 oktober 2012
Onderzoekers brengen malware-developmentkit uit voor Android Nieuws van 6 augustus 2012
'Android-malware is miljoenen keren gedownload' Nieuws van 28 januari 2012
Meer producten en artikelen
Smartphones Google Android

Reacties (33)

-Moderatie-faq
-133033+121+20+30Ongemodereerd7
Wijzig sortering
Jeuwst
22 oktober 2012 10:32
En hoe zit dit bij de concurrenten dan? Windows phone en ios? is het makkelijk automatisch toe te voegen door Google of zijn het de ontwikkelaars die dit beter moeten doen?
arjankoole
@Jeuwst22 oktober 2012 11:06
En hoe zit dit bij de concurrenten dan? Windows phone en ios? is het makkelijk automatisch toe te voegen door Google of zijn het de ontwikkelaars die dit beter moeten doen?
ik zal eens kijken of ik 't op iOS kan reproduceren, ik vermoed eigelijk van wel. (zelfde dev team per slot van rekening voor de facebook en gmail apps)

Google moet het voor haar eigen apps (gmail, google play) toevoegen. Maar dat geld ook voor de individuele ontwikkelaars van Facebook, etc, etc.
Anoniem: 125509
@Jeuwst22 oktober 2012 11:07
Het zijn de ontwikkelaars die dit beter moeten doen. De makers van de diverse Apps zouden hun beveiliging beter op orde kunnen hebben. Google is daar ook één van overigens.

Het is geen fout van Android ansich, dus Google kan het niet achteraf automatisch toevoegen.

Ik vind de kop daarom niet correct en zelfs wat suggestief. Het is getest op Android, waarschijnlijk omdat de onderzoekers daar eenvoudig snel hun testtooltjes op konden laden. Maar als bijvoorbeeld een Dropbox problemen heeft op Android, dan zit er een redelijke kans in dat het probleem net zo groot is op iOS en WP.
drpun
@Jeuwst22 oktober 2012 12:24
Dit is niet Android specifiek. Check op IOS maar eens volgende apps:

Binck
ICS Cards
Paypal
E-Bay

Allemaal vatbaar voor mitm via ongeldige certificaten
Oerdond3r
22 oktober 2012 10:38
Dit is niet eens zozeer een beveiligingslek. Het maakt de app net zo veilig als dat een browser een beveiligde verbinding opzet. Het had alleen makkelijker nog veiliger gekund (via dat ssl-pinning dus).
Auteurarnoudwokke
@Oerdond3r22 oktober 2012 10:43
Klopt en daarom staat het ook niet bovenaan in het artikel :)
Oerdond3r
@arnoudwokke22 oktober 2012 14:03
Het was ook niet bedoeld als enige kritiek op het artikel. Eerder voor de mensen die de stof minder begrijpen / het artikel maar half lezen. :)

(Edit: Dat ikzelf het artikel maar half lees, en dat er wel degelijk een probleem is met apps die de certificaten niet goed controleren daargelaten...)

[Reactie gewijzigd door Oerdond3r op 22 oktober 2012 14:39]

GrooV
@Oerdond3r22 oktober 2012 13:00
Je browser geeft dan een melding dat het certificaat niet bij de URL past of niet geldig is. De apps doen dit niet en gaan gewoon verder, DUS is de app minder veilig dan de browser
Oerdond3r
@GrooV22 oktober 2012 13:55
Fout: (Edit: Je hebt gelijk. Eigenlijk las ik het artikel niet goed waarin staat dat veel apps dit inderdaad niet doen) Net als bij het Diginotar incident kon men bij een man in the middle aanval certificaten voor elk URL vervalsen. De browser zag dan dat Diginotar deze uitgegeven had en gaf geen enkele melding.

SLL pinning is nog veiliger omdat de app dan maar één certificaat vertrouwd, en dat is die van zijn provider. Hier komt dan geen Certificate Authority aan te pas.

[Reactie gewijzigd door Oerdond3r op 22 oktober 2012 14:26]

Soldaatje
22 oktober 2012 10:50
De onderzoekers hebben hun onderzoek gericht op Android, omdat het onderzoek daarop makkelijker gaat dan op bijvoorbeeld iOS of Windows Phone.
Waarom zou dit makkelijker zijn?
Voor een man in the middle moet je alleen ergens tussen de verbinding zitten op het netwerk, dat heeft niks met het apparaat te maken, kan net zo goed een koelkast of magnetron zijn.
Anoniem: 315662
@Soldaatje22 oktober 2012 11:03
Ja maar om resultaten op het apparaat te zien of om dingen on the go aan te passen werkt android, met zijn openheid, waarschijnlijk toch iets beter
Anoniem: 415735
@Soldaatje22 oktober 2012 11:07
Waarom zou dit makkelijker zijn?
Volgens het artikel hebben de onderzoekers zich gericht op Andriod omdat er nog niet een dergelijk onderzoek is gedaan bij Andriod. Daartoe hebben ze Mallodriod App ontwikkeld die gebouwd is op Androguard.
Kortom mogelijkerwijs hebben praktische redenen een rol gespeeld bij de keuze voor OS-omgeving, maar dat is (volgens mij) niet expliciet gemaakt.

Kwa oplossingen stellen de auteurs dat er meerdere alternatieven zijn en dat alleen een stand-alone oplossing geen aanpassing van het OS vereist. Mallodriod App icm Androguard is een standalone oplossing.
BombaAriba
22 oktober 2012 10:34
Ik vraag mij dan toch altijd af waarom ze niet eerst even alle appmakers een mailtje sturen met desbetreffende info en dan nog een maandje wachten met publiceren. Nu lichten de goeden naar mijn idee onbedoeld de slechte in over nieuwe hackmethodes etc. Is zo'n onderzoek publiceren terwijl het nog mogelijk is om te gebruiken meer waard in wetenschappelijke zin?
Edit: De link naar de paper is trouwens dood.

[Reactie gewijzigd door BombaAriba op 22 oktober 2012 10:35]

Hammetje
@BombaAriba22 oktober 2012 10:40
Hoewel dat niet genoemd is, zal dat waarschijnlijk wel het geval zijn geweest. Echter, door het bericht te publiceren (en dus het nieuws te halen), bouw je druk op voor het bedrijf om het probleem op te lossen. Gebeurd wel vaker ;).
arjankoole
@Hammetje22 oktober 2012 11:07
Hoewel dat niet genoemd is, zal dat waarschijnlijk wel het geval zijn geweest. Echter, door het bericht te publiceren (en dus het nieuws te halen), bouw je druk op voor het bedrijf om het probleem op te lossen. Gebeurd wel vaker ;).
vooral als het bedrijf in kwestie niet reageert, of beloftes maakt en vervolgens de deadlines niet nakomt. Beide situaties komen helaas maar al te vaak voor.
gekkie
22 oktober 2012 10:57
Zolang ze maar blijven toestaan om self-signed certificaten te blijven accepteren na een waarschuwing.
prutsger
@gekkie22 oktober 2012 12:17
Idd. Ik vind
Ssl-certificaten horen alleen vertrouwd te worden als ze door een Certifcate Authority ondertekend zijn.
dan ook niet terecht. Je wilt natuurlijk niet voor elke ssl-verbinding een certificaat waarschuwing, dus daar zijn die authorities handig bij. Maar als je een self-signed cert gebruikt, zoals ik op mijn eigen (mail)server, dan wil ik zelf beslissen of ik dat certificaat vetrouw of niet. Dus niet standaard blokkeren omdat die self-signed is. Als ik maar weer een waarschuwing krijg als het certificaat is veranderd.
Dreamvoid
@prutsger22 oktober 2012 17:39
Dan compile je toch je eigen applicatie, zodat-ie jouw certificaat vertrouwt?
434365
22 oktober 2012 10:50
Whehe dit had ik zelf ook al geconcludeerd, zie de programmatjes dSploit en Faceniff hehe, kan je vanaf je android mitm attacks doen op andere androids, maar ook op iOS (vooral die Faceniff lijkt meer iOS te detecteren dan android, die dSploit kan meer maar is nog vroeg in development en vind vrij weinig)

[Reactie gewijzigd door 434365 op 22 oktober 2012 10:52]

itarix
22 oktober 2012 11:34
Hoe werkt dat dan? In android kun je gebruik maken van de HttpsURLConnection die voor zover ik weet alles afhandeld. Maken die 1000 applicaties gewoon geen gebruik van HttpsURLConnection of is de fout juist dat zij er ook vanuit gaan dat die klasse alles veilig afhandelt.
sjongenelen
22 oktober 2012 12:03
Is het niet gewoon zo dat DNSSec bij de 'leverancier' (E.G. https facebook) dit meteen tackelt?
Of denk ik dan te makkelijk..

Lijkt me i.i.g. geen issue van Android itself. Ik ga ff Googlen op SSL pinning :|

EDIT: hier een duidelijk verhaal over SSL pinning:
http://blog.lumberlabs.co...rs-should-care-about.html

[Reactie gewijzigd door sjongenelen op 22 oktober 2012 12:05]

_Thanatos_
22 oktober 2012 12:34
voor aanvallen via geldige, maar verkeerde ssl-certificaten
Mooie woordkeus. Als ze geldig zijn, kunnen ze toch verkeerd zijn.
Er komt volgens geruchten betere beveiliging in Android 4.2, al zullen de lekken in apps daarmee niet worden aangepakt.
De google apps wel toch, mag ik aannemen??
Overv
22 oktober 2012 13:08
Het probleem hier is denk ik dat sommige app developers lui zijn en in plaats van een SSL certificaat goed te controleren, wel HttpsURLConnection gebruiken maar gewoon alle certificaten automatisch doorlaten omdat het te veel moeite kost om het wel goed te verifieeren.

Met een self-signed certificaat lijkt me trouwens niks mis in de context van een applicatie, omdat de applicatie de public key van de server ingebouwd kan hebben voor controle.

[Reactie gewijzigd door Overv op 22 oktober 2012 13:10]

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ

Rapporteer misbruik van moderaties in Frontpagemoderatie.
1 2

Op dit item kan niet meer gereageerd worden.

Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee