De inloggegevens die je invoert via de My Vodafone-app op de iPhone, zijn gemakkelijk door kwaadwillenden te achterhalen. Dat meldt appontwikkelaar Dennis Lexis aan iPhoneclub. Hij onderzocht autorisatieprocessen van verschillende applicaties en stuitte daarbij op de slechte bescherming die de Vodafone-app aan haar klanten biedt. De applicatie verstuurt de inloggegevens van klanten namelijk via een onbeveiligde HTTP-verbinding. Zowel het 06-nummer als het wachtwoord worden meegezonden en kunnen daardoor gemakkelijk door anderen onderschept worden.
Gevoelige, persoonlijke informatie wordt doorgaans verzonden via een beveiligde SSL- of HTTPS-verbinding. Dat is bij de applicatie van Vodafone niet het geval. Eveneens staat de informatie onbeveiligd op de iPhone zelf. De accountgegevens zijn daar niet afgeschermd, maar te achterhalen in een simpele property-lijst; een aan de app gehecht tekstbestand met persoonlijke informatie. Daardoor kan de onbeveiligde informatie door handige jongens onderschept worden.
Met de inloggegevens kunnen kwaadwillenden inloggen op de My Vodafone-website. Daar is de abonnementsvorm te veranderen, maar kunnen ook persoonsgegevens achterhaald en gewijzigd worden.
De My Vodafone-applicatie werd 28 februari uitgebracht. Het laat abonnees van de telecomprovider beltegoed en de databundel in de gaten houden. Ook kan je er tarieven van het buitenland bekijken en zie je er algemene informatie over je abonnement. Tipgever Lexis kaartte het beveilingseuvel eerder al aan bij de Vodafone Webcare, maar ontving geen reactie. Vóór publicatie van dit artikel namen we contact op met Vodafone om het probleem nogmaals te melden. Een halfuur na de afgesproken deadline ontvingen we een reactie terug: Vodafone is op de hoogte van het beveiligingsprobleem en zal ze met de hoogste prioriteit oppakken, aldus een woordvoerder tegenover iPhoneclub.nl.
Informatie in gevaar?
Hoe kun je voorkomen dat je gegevens in verkeerde handen komen? Je persoonlijke gegevens die in de My Vodafone-app aanwezig zijn, lopen niet direct gevaar als je wat voorzorgsmaatregelen neemt. Dit zijn maatregelen die elke verstandige internetgebruiker kent: niet zomaar gebruik maken van openbare hotspots of openstaande draadloze netwerken en zeker geen privacygevoelige gegevens versturen via zo’n onbeveiligd netwerk. We raden daarom aan de app alleen via het 3G-netwerk te gebruiken of via je draadloze netwerk thuis (mits voldoende beveiligd tegen gebruik door derden). Ook moet je voorkomen dat anderen jouw iPhone fysiek in handen krijgen, omdat ze in dat geval de property-list kunnen uitlezen. Tot een eventuele update is voorzichtigheid geboden bij gebruik van de My Vodafone-app.
Reactie Vodafone
Vodafone heeft bij monde van woordvoerder Richard Mes (om 16:45 uur) een uitgebreide reactie aan iPhoneclub gegeven.
De My Vodafone login gegevens die vanuit de iOS applicatie naar de Vodafone login servers wordt verstuurd zijn niet versleuteld. Gegevens die vanuit de Android applicatie naar de Vodafone login servers wordt verstuurd zijn wel versleuteld. Wanneer een klant op de iOS My Vodafone applicatie inlogt, dan kan iemand op hetzelfde WiFi netwerk het verkeer opvangen (‘sniffen’). Als iemand net aan het ‘sniffen’ is terwijl de login wordt uitgevoerd, dan kan de ‘sniffer’ de gebruikersnaam en het wachtwoord van het My Vodafone profiel herleiden. Hiervoor zijn wel speciale tools nodig, dit is niet simpel voor iedereen om uit te voeren en enige kennis is wel vereist.
Het onversleuteld versturen van gegevens via de My Vodafone iOS applicatie had echter nooit mogen gebeuren. Ik wil Dennis Lexis dan ook bedanken voor zijn mail. Vodafone heeft actie ondernomen en de inlog functionaliteit van de onversleutelde iOS applicatie per direct uitgeschakeld. Klanten die inloggen op de geïnstalleerde applicatie krijgen de boodschap te zien dat de applicatie tijdelijk niet beschikbaar is en dat Vodafone aan een oplossing werkt. Parallel daaraan zal Vodafone zo snel mogelijk een nieuwe versleutelde iOS applicatie aanmelden bij Apple. Ondanks het feit dat het verkeer vanuit de Android applicatie versleuteld wordt verstuurd wordt ook de beveiliging van de Android applicatie aangescherpt. Gebruikers van de Android applicatie krijgen dan ook binnen afzienbare tijd een update aangeboden.
Met vriendelijke groet,
Richard Mes
Corporate Affairs
Vodafone Nederland
Waarschuwing per sms
Update 18:30 uur Vodafone stuurt nu proactief via sms ook waarschuwingen naar gebruikers dat de beveiliging van de My Vodafone app wordt verbeterd en tijdelijk niet beschikbaar is. Daarnaast roept Vodafone op je wachtwoord voor de My Vodafone-toegang te wijzigen.
Beste klant, Vodafone verbetert momenteel de beveiliging van de My Vodafone-app. De app is daarom tijdelijk niet beschikbaar. Vodafone adviseert je om het wachtwoord van My Vodafone te wijzigen op www.vodafone.nl/myvodafone.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Vodafone heeft het vandaag druk met andere dingen.
Logisch dat er nog geen reactie komt, Vodafone heeft nu wel even wat beters te doen.
Offtopic: Die reactie zal ook nog wel even uitblijven gezien die storing..
Natuurlijk erg slordig, beetje kwaadwillend persoon kan hiermee klanten op onvoorziene kosten jagen door de abbo’s omhoog te halen.
Lekker dan.
Slechte zaak!
slechte zaak, die operators moeten zich ook niet bezighouden met zaken waar ze geen verstand van hebben! Ze moeten die pijp beschikbaar stellen, niet meer en niet minder en dat kunnen ze nog niet eens!!!
tijd om de klachtenlijn te bellen, brand of gen brand, ik betaal door, ook als er problemen zijn!!!
dus bellen en klagen!!!
Moord, brand!
En dit is dus ook zo op Android…
(Uiteraard is HelloWorld1 normaal niet mijn wachtwoord, maar heb ik dit tijdelijk gedaan)
“We hebben dit met de hoogste prioriteit opgepakt”
En die storing dan? Lagere prioriteit?
App is al offline gehaald. Ook als je hem al geinstalleerd hebt werkt die “tijdelijk” niet.
Dat vind ik dan wel weer netjes van ze!
klagen helpt!!!
Nee klopt maar het lucht wel op:)))))
Bijna dagelijks hoor je dat het weer ergens misgaat met persoonlijke gegevens. Ongeacht de goede intenties van diverse instanties en bedrijven, gaat het telkens weer mis. Ben benieuwd wat ons nog allemaal te wachten staat als kwaadwillenden massaal toeslaan.
Ooit moet het kaarthuis toch instorten, zou je denken.
Begrijp de grote ophef niet het is bijna een algemeen feit dat online je eigen shit opslaan niet of slecht versleuteld gebeurt. iedereen heeft toch wel een pc met losse drive, maak je backup zelf! versleutel hem zelf en beter nog bewaar hem zelf.
online je eigen info zetten is vragen om problemen.
Je moet zowiezo nooit data onbeveiligd versturen via vreemde/openbare netwerken. Met een goede en betrouwbare VPN service is dit heel simpel op te lossen.
En toch, qua reactie zeg ik, prima. Probleem erkennen, korte termijn oplossing aanbieden (ook al gooi je het helemaal op zwart) en daarna (liefst zsm) definitief oplossen. Owja en de klokkenluider niet afbranden maar bedanken.
Kreeg net een SMS van Vodafone dat de app wegens een veiligheidsupdate uit de AppStore is gehaald en krijg het advies om mijn “My Vodafone” wachtwoord te veranderen. Ondanks dat het natuurlijk geen goeie beurt is om een app met zo’n slechte beveiliging te maken, vind ik de reactie wel weer adequaat.
@iKarnemelk: Zelfde smsje hier. Netjes vlotte reactie van Vodafone
Beste klant, Vodafone verbetert momenteel de beveiliging van de My Vodafone app. De app is daarom tijdelijk niet beschikbaar. Vodafone adviseert je om het wachtwoord van My Vodafone te wijzigen op http://www.vodafone.nl/myvodafone
Pro-actief een sms? Tja, toch eerst de ‘service’ weer herstellen. Na de brand nog geen bereik.
Zojuist kreeg ik een update in de AppStore. Het zou nu veilig moeten zijn (?)