‘Diverse iPad-apps bevatten kwetsbaarheid’

0

Ongeveer duizend iOS-apps bevatten een kwetsbaarheid in de implementatie van https. Kwaadwillenden kunnen hierdoor eenvoudig persoonlijke gegevens als gebruikersnamen en wachtwoorden onderscheppen.

Dat schrijft SourceDNA, een organisatie die voortdurend applicaties in de App Store scant en analyseert.

Het bedrijf vond een manier om het gebruik van AFNetworking bij iOS-apps in de gaten te houden. AFNetworking is een opensource-codebibliotheek die door veel ontwikkelaars gebruikt wordt voor de netwerkfunctionaliteit van hun applicaties. Op 12 februari verscheen een update van de library: versie 2.5.1. Deze versie bevatte echter een bug waardoor de SSL-certificaten niet gevalideerd werden. De update, versie 2.5.2, verhielp het probleem.

SourceDNA heeft berekend dat dat de opensource-bibliotheek tussen 24 januari en 25 maart kwetsbaar was, een periode van zes weken. Op 24 januari verscheen de inmiddels verouderde versie 2.5.0. Eind maart verscheen de nieuwste versie die het probleem verhielp, namelijk 2.5.2.

Het bedrijf maakte in deze periode vingerafdrukken van applicaties die voor, tijdens en na de kwetsbaarheid met AFNetworking werkten. SourceDNA spotte 20.000 apps die aan deze eis voldeden, omgerekend één op de vijf apps die met de opensource-bibliotheek werkt. Uit nadere analyse bleek dat 55% van deze apps met de verouderde, maar veilige versie 2.5.0 werkte. 40% van de onderzochte apps beschikte niet over de kwetsbare SSL-API. De resterende 5%, zo’n duizend applicaties, bleek de kwetsbaarheid wel te bevatten.

Wie een van deze kwetsbare apps gebruikt, loopt het risico dat zijn persoonlijke gegevens in de verkeerde handen komen. Het gaat om onder meer applicaties van Yahoo, Microsoft, Uber en Citrix. SourceDNA heeft een zoekmachine online gezet waarmee je kunt controleren of de apps die jij gebruikt de kwetsbaarheid bevatten.

SourceDNA zegt verbaasd te zijn dat miljoenen gebruikers wekenlang aan mogelijke aanvallen blootgesteld zijn.

“It amazes us that an open-source library that introduced a security flaw for only 6 weeks exposed millions of users to attack.”

Diverse ontwikkelaars hebben hun app inmiddels al geüpdatet naar de nieuwste versie.

Share.

Over de auteur

Anton (1983) is schrijver in hart en nieren. Na zijn studie politicologie en parlementaire geschiedenis heeft hij zich volledig gericht op webredactie, online journalistiek en bloggen. De afgelopen jaren heeft hij diverse webredacties versterkt en vo... Lees meer

Reageer