Cisco heeft op zaterdag nog een kwetsbaarheid opgelost in zijn WebEx-browserextensie, ditmaal in drie browserversies in plaats van een. Ook deze maakte het mogelijk voor een aanvaller om willekeurige code uit te voeren.

Het is de tweede keer in een week dat een kritieke kwetsbaarheid uit de extensie gehaald moet worden. Door de kwetsbaarheid kan een aanvaller willekeurige code uitvoeren met dezelfde rechten als de browser waarin de plug-in draait. Daarvoor moet de kwaadwillende het doelwit overtuigen om naar een webpagina te navigeren die aangepast is om de kwetsbaarheid in de api van de extensie uit te buiten. Meer details maakt Cisco niet bekend.

Waar de vorige kwetsbaarheid alleen voor de Chrome-browser gold, treft deze zowel Chrome als Firefox en Internet Explorer. Er zijn geen workarounds voor de kwetsbaarheid, dus de update moet zo snel mogelijk geïnstalleerd worden. De versie waarin de kwetsbaarheid is weggewerkt is direct voor alle browsers te downloaden.

Dat er een tweede beveiligingsupdate zo kort volgt op de eerste, is niet geheel verrassend. Tavis Ormandy, de beveiligingsonderzoeker van Google die de problemen aan het licht bracht, stelde bij de publicatie van het vorige euvel al dat Cisco weliswaar snel reageerde op de melding van het probleem, maar hij was er niet volledig van overtuigd dat de kwetsbaarheid ook compleet weggewerkt was.

De browserextensie van Cisco is gericht op zakelijke gebruikers en biedt verschillende mogelijkheden waaronder videogesprekken. WebEx heeft ongeveer twintig miljoen gebruikers.

Een onderzoek van bijna 300 vpn-apps op de Google Play Store heeft uitgewezen dat dergelijke apps vaak de identiteit niet beschermen, onnodige toestemmingen vragen en malware bevatten. In sommige gevallen worden zelfs advertenties in het verkeer geïnjecteerd met Javascript.

Van de 283 onderzochte gratis vpn-apps voor Android bleek 18 procent helemaal geen encryptie toe te passen, wat een man-in-the-middle-aanval op een onbeveiligd netwerk mogelijk maakt. 16 procent van de apps injecteerde code in het internetverkeer voor verschillende doeleinden, waarvan twee dat deden om advertenties te tonen. Een overgroot gedeelte van de apps, 84 procent, beschermt ipv6-verkeer niet en 66 procent deed dat met dns-gegevens. Ongeveer de helft gebruikt tracking libraries om het gedrag van gebruikers in kaart te brengen en een derde van de apps bevat malware.

Het onderzoek komt van de universiteit van New South Wales in samenwerking met Berkeley. De onderzoekers benadrukken dat de vele op- en aanmerkingen op de vpn-apps in de Play Store niet per se allemaal bewijs zijn van malafide intenties. Ook betekent niet iedere tekortkoming dat de veiligheid van de gebruiker in het geding is. In een deel van de gevallen is alleen de anonimiteit van de gebruiker bijvoorbeeld niet gewaarborgd, hoewel dat wel de motivatie is om een vpn-app te installeren.

Android heeft ingebouwde ondersteuning voor vpn-apps, die dankzij een bepaalde permission makkelijk al het netwerkverkeer onder handen kunnen nemen. De onderzoekers stellen dat het belangrijk is dat Google opnieuw kijkt naar dit systeem en meer controle uitoefent op vpn-apps omdat vpn-diensten zelfs voor technisch aangelegde gebruikers niet altijd even doorzichtig zouden zijn.