Tientallen onveilige iPhone-apps na drie maanden nog steeds niet gefixt

Tientallen populaire apps voor iPhone en iPad gaan nog steeds onzorgvuldig met je inloggegevens om, terwijl ze maanden de tijd hebben gehad om het probleem op te lossen. Door een man in the middle-aanval kunnen kwaadwillenden gevoelige informatie stelen, zoals gebruikersnamen en wachtwoorden. Het gaat in totaal om 250 apps, waaronder Dolphin Web Browser, Panda Mobile Security, Diabetes in Check, Yo, apps van Puma en Warner Bros en diverse bankierapps. Ook zit er een app bij waarmee inwoners van Indiana kunnen stemmen.

Onveilige iPhone-apps nog steeds onveilig

Gelukkig staan er geen Nederlandse bankenapps in het lijstje, maar gaat het om banken zoals America’s First, 21st Century Insurance, Banco Santander Mexico, Banco de Costa Rica, Space Coast Credit Union, Banque Zitouna, Emirates NBD Bank, State Bank of India, Dollar Bank, Great Southern Bank en Think Mutual Bank. Het meest schrijnend zijn echter de apps die juist extra beveiliging beloven, zoals Dolphin Web Browser (een browser om privé te kunnen internetten) en Panda Mobile Security (een antivirus-app, gemaakt door een beveiligingsbedrijf). De apps zijn opgeteld goed voor 18 miljoen downloads.

Bekijk ook

‘Populaire apps met 18 miljoen downloads kwetsbaar voor dataverlies’

Uit een onderzoek blijkt dat een aantal populaire apps kwetsbaar zijn voor dataverlies. Door een slechte beveiliging kunnen allerlei gegevens van gebruikers achterhaald worden, zoals e-mailadres en logingegevens.

Eerder dit jaar liet beveiligingsonderzoeker Will Strafach al zien dat tientallen populaire iPhone-apps gevoelig zijn voor een man-in-the-middle-aanval, waarbij data kan worden onderschept bij het versturen tussen iDevice en een server. De betreffende apps gebruiken code, waarmee elk certificaat wordt geaccepteerd voor de versleutelde verbinding, zonder het certificaat te valideren. Een aanvaller die bijvoorbeeld op hetzelfde Wi-Fi-netwerk zit kan op die manier een app om de tuin leiden en zorgen dat een willekeurig certificaat geaccepteerd wordt, om vervolgens de data af te tappen.

Strafach maakte de namen van enkele minder privacygevoelige apps bekend, maar wilde uit privacy-overwegingen niet de namen van de bankier-apps en medische apps onthullen. Wel lichtte hij de ontwikkelaars ervan in. Het zou in totaal gaan om meer dan 250 apps. De ontwikkelaars van HipChat en Foxit PDF verbeterden de beveiliging. Maar bij de meeste apps is nog niets gedaan, constateert Strafach nu, drie maanden later.

Strafach heeft gemengde gevoelens gekregen over het rapporteren van de kwetsbaarheden. Hij merkte dat sommige bedrijven helemaal geen reactie gaven en vraagt zich af of het wel zin heeft om ontwikkelaars persoonlijk te informeren over kwetsbaarheden. Nu de namen van diverse banken bekend zijn kunnen de klanten in ieder geval zelf maatregelen nemen. Carnegie Mellon University waarschuwt in ieder geval klanten van Think Mutual Bank en Space Coast Credit Union om de mobiele apps niet meer te gebruiken.

Mocht je bezorgd zijn: gebruik je mobiele apps buitenshuis alleen via je 4G-verbinding, niet via Wi-Fi-netwerken die door meerdere mensen worden gebruikt.