Flickr en andere iOS-apps kwetsbaar voor datadiefstal
Data verzonden door fotografie-app Flickr kan worden onderschept door anderen op hetzelfde netwerk, waardoor iemand potentieel je wachtwoord of andere gebruikersgegevens kan achterhalen. Dit stelt beveiligingsexpert Nick Arnott, die er op wijst dat ook veel andere iPhone-applicaties zijn getroffen door dit probleem. De betreffende apps zouden andermans SSL-certificaten accepteren, iets waar kwaadwillenden misbruik van kunnen maken.
Volgens Arnott heeft iOS een lijst met SSL-certificaten die vertrouwd kunnen worden door apps, maar lang niet alle applicaties zouden deze optie benutten. In plaats daarvan worden certificaten van alle bronnen geaccepteerd, ongeacht of de maker hiervan bekend is of niet.
Hoeveel apps kwetsbaar zijn maakt Arnott niet duidelijk, maar hij noemde wel een aantal voorbeelden. In de lijst is Flickr de meest noemenswaardige, maar ook apps zoals Cisco WebEx Meetings en de kassa-app Lavu Lite staan op Arnott’s lijst. Het probleem lijkt wel makkelijk te fixen: zo loste de maker van Amerikaanse betaal-app E*TRADE Mobile het probleem snel op in een update, nadat hij er op was geattendeerd.
Downloaden: Flickr (gratis, iOS 4.3+)
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Van prutsappjes kun je dit soort dingen wel verwachten, maar onvoorstelbaar dat ook ‘serieuze’ apps als Webex self-signed certificaten accepteren. Is naar mijn idee verbijsterend. Wel jammer dat de lijst niet gepubliceerd is…heb 3 of 4 keer doorgeklikt naar andere sites om te kijken of de lijst dan daar stond maar kon hem niet vinden (of ik kan niet goed lezen natuurlijk). Als jullie hem hebben, misschien even posten?
Dat de lijst van iOS niet gebruikt wordt daar is op zich niets mis mee. Zo heeft je browser (of eigenlijk besturingssysteem) ook een lijst van trusted authorities met de daarbij behorende root en intermediate certificaten.
Op een moment dat een website een certificaat gebruikt uitgegeven door een instantie die niet in de lijst van trusted authorities staat, dat is er in principe niets aan de hand. Je kunt de webserver het root (en intermediate) certificaat laten meesturen en vervolgens is alles koek en ei. Naast dit heeft elke uitgever een validatie URL beschikbaar (is vindbaar in het root certificaat) waar de client kan controleren of het certificaat wel echt geldig is en ondertekend door die uitgever.
De iOS SSL library werkt denk ik niet anders. Als je een certificaat gebruikt wat niet ondertekend is door een uitgever uit de trusted authority lijst dan is er an sich niets aan de hand. Het wordt pas een probleem als de verificatie uitgeschakeld wordt (ik heb even de developer docs doorgenomen, dit kan door SSLSetEnableCertVerify uit te zetten). Pas dan creeër je een probleem aangezien dan het certificaat niet gecontroleerd wordt op herkomst.
Vermoedelijk wordt dit tijdens het ontwikkelen gedaan als er gebruik wordt gemaakt van zelf ondertekende certificaten. Vervolgens wordt dit bij het publiceren vergeten.
Het is gewoon slordig, maar uiteindelijk wordt de data nog wel versleuteld over het netwerk verstuurd. Dat vind ik persoonlijk minder erg dan apps die onversleuteld data uitwisselen. Geloof mij, die zijn er ook genoeg.