020 530 0160

Populaire iOS apps kwetsbaar voor MitM hacks.

Gepubliceerd op 8 februari 2017 categorieën , , , ,

Privacy is een hot topic op het moment. Met de verwachte komst van de GDPR en het vorig jaar ingevoerde Privacy Shield tussen de VS en de EU staat privacy en de bescherming van persoonsgegevens steeds vaker op de agenda. Maar we moeten niet te vroeg juichen, zo stelt Will Strafach, CEO van Sudo Security Group. Tijdens een (test) ‘security scan’ van de Apple App Store, ter ontwikkeling van een ‘analytics’ app genaamd verify.ly, zijn er maar liefst 76 populaire iOS apps geïdentificeerd die momenteel kwetsbaar zijn voor onmerkbare Man-in-the-Middle aanvallen van hackers. Zoals al eerder door ons besproken, is ook nu de Transport Layer Security (TLS 1.2) zoals HTTPS  (zie ook) het probleem. Dit keer wordt het volgens Strafach veroorzaakt door slecht geïmplementeerde code in de app. De code zorgt er namelijk voor dat de app elk (vervalst) beveiligingscertificaat accepteert, waardoor een (versleutelde) verbinding tot stand komt.

Bij een Man-in-the-Middle aanval wordt vaak gebruik gemaakt van een door een hacker opgezet onbeveiligd WiFi-netwerk/hotspot, waarvan de naam van het netwerk (SSID) zodanig is geformuleerd, dat deze als betrouwbaar wordt gezien door potentiele slachtoffers. Zodra laatstgenoemde verbinding maakt met het netwerk is het voor de hacker mogelijk om gegevensstromen van en naar het mobiele apparaat van het slachtoffer te onderscheppen. Een ander voorbeeld is een zogenaamde forced-joined verbinding, hier wordt een MitM aanval uitgevoerd door het mobiele apparaat geforceerd verbinding te laten maken met een malafide netwerk, of denk aan een hostile proxy. Deze proxy leidt alle communicatie tussen  een server en client (i.e. webbrowser van gebruiker) om naar zichzelf ,en krijgt daardoor toegang tot alle verstuurde data.

Gesteld wordt dat de kwetsbare apps gezamenlijk op ruim 18 miljoen apparaten zijn gedownload. Bij 33 van de 76 geïdentificeerde apps ging het om een laag risiconiveau  waarbij ‘slechts’ deels persoonsgegevens zoals het emailadres of inloggegevens kunnen worden onderschept. Daarnaast vielen 24 apps in het middelmatige risiconiveau waarbij de inloggegevens voor de app onderschept kunnen worden en de betreffende accounts kunnen worden overgenomen. Voor de overige 19 apps geldt een code rood, waarbij het volgens Strafach zelf mogelijk is om inloggegevens te bemachtigen voor financiële of medische applicaties en de daarin opgeslagen gevoelige informatie (bijzondere persoonsgegevens).

In zijn bericht heeft Strafach een lijst opgenomen van apps met een  laag risiconiveau. Deze bevat onder meer namen als ooVoo, MusicTube, VICE News en Uploader for Snapchat. De lijst met apps met een middelmatig en hoog risiconiveau zijn om veiligheidsredenen nog niet openbaar gemaakt. Hier later meer over.

Om de cybersecurity van hun producten te verbeteren, heeft Apple eind 2015 haar App Transport Security (ATS) richtlijnen geïntroduceerd, welke dienen als best practices voor netwerkverbindingen. Het gebruik van ATS, i.e. de daarin opgenomen beveiligingsstandaarden zoals o.a. de verplichting om gebruik te maken van HTTPS,  zal voor iOS app ontwikkelaars als voorwaarde gaan gelden om hun apps in de Apple App Store te mogen aanbieden.

Momenteel worden die eisen nog niet strikt gehandhaafd, waardoor apps zo nodig nog gebruik kunnen maken van HTTP. Zodra ATS echter definitief wordt, zullen non-compliant apps niet meer beschikbaar zijn via de App Store. Dit geldt ook voor zeer populaire apps (die op dit moment nog niet aan ATS voldoen) zoals o.a. Facebook, LinkedIn, Netflix en Skype. De initiële deadline voor de volledige implementatie van ATS is inmiddels verstreken (januari 2017). Om ontwikkelaars tegemoet te komen, gezien het intensieve traject om volledig van HTTP naar HTTPS over te stappen, heeft Apple de deadline uitgesteld naar een nog onbekende datum.

Ondanks het feit dat ATS een stap vooruit is, lost het volgens Strafach niet het volledige probleem op. Door hackers vervalste TSL certificaten worden namelijk ook door ATS gewoon als valide certificaten gezien. De apps zelf zorgen voor de validering van de certificaten, dus zolang ontwikkelaars niet nauwkeurig de veiligheid van hun applicaties blijven controleren, zullen dit soort problemen zich blijven voordoen en zullen gebruikers kwetsbaar blijven voor hackaanvallen.

Als tussentijdse oplossing stelt Strafach dat het veiliger is om bepaalde apps, waarmee privacygevoelige informatie wordt verstuurd, slechts te openen indien gebruik gemaakt wordt van een beveiligde WiFi verbinding. Heb je die niet, dan kan je volgens Strafach beter je WiFi in zijn geheel uitzetten, aangezien het onderscheppen van informatie over een mobiele dataverbinding vrij lastig is. Voor een definitieve oplossing voor dit probleem zullen ontwikkelaars aan de slag moeten om hun applicaties nog veiliger te maken. Wellicht moet Apple de eisen van haar App Transport Security gaan opschroeven, zodat de status quo wordt geüpgrade naar een hackproof niveau.

Met dank aan Mike Marshall

Deze blog is automatisch geïmporteerd uit een oudere versie van deze website. Daarom is de lay-out mogelijk niet perfect.
Deel:

auteur

Remco Bakker

publicaties

Gerelateerde artikelen