‘Internetverbinding bij veel populaire iOS-apps niet versleuteld’

Uit een nieuw Duits onderzoek blijkt dat veel populaire iOS-apps niet goed versleuteld zijn. Hackers kunnen daardoor persoonlijke gegevens onderscheppen. Het gaat om meer dan honderd apps die niet goed beveiligd zijn.

Uit een onderzoek van een Duitse beveiligingsonderzoeker blijkt dat de internetverbinding bij veel populaire iOS-apps niet goed versleuteld is. Hierdoor kunnen de apps makkelijk gehackt worden, waardoor gegevens van gebruikers onderschept kunnen worden. Van in totaal 200 populaire apps is bij ruim de helft de verbinding niet versleuteld.

Verbinding populaire iOS-apps niet versleuteld

Onderzoeker Thomas Jansen, die voorheen bij Apple werkzaam was, deed onderzoek naar de beveiliging bij 200 populaire apps in de Duitse App Store. Uit eigen onderzoek bleek uiteindelijk dat 111 apps geen versleutelde verbinding gebruikte bij het versturen van persoonsgegevens, waardoor deze dus eenvoudig onderschept kunnen worden door hackers. Het gaat om zogenaamde man-in-the-middle-aanvallen, waardoor de hacker als een soort tussenpersoon de communicatie van de gebruiker met de server onderschept. Dit kan bijvoorbeeld als de hacker op hetzelfde Wi-Fi-netwerk zit, bijvoorbeeld via een openbare hotspot.

iPhone-beveiliging

Eén van de getroffen apps is de Duitse winkelapp Shein. Met de juiste tools kan een hacker dus zien welke gebruikersnaam en wachtwoorden jij verstuurd hebt via de app. Vervolgens kunnen deze gegevens gebruikt worden om bijvoorbeeld aankopen te doen. Omdat mensen vaak hetzelfde wachtwoord bij meerdere diensten gebruiken, kan het risico dus nog veel groter zijn. Ook de in Nederland gebruikte app van AutoScout24 is kwetsbaar voor dit soort aanvallen. Volgens het bedrijf achter de app was het probleem maar van korte duur aanwezig. Het zou inmiddels dan ook verholpen zijn. Welke andere apps er precies getroffen zijn, is onduidelijk. De onderzoeker heeft het probleem gemeld bij 24 bedrijven gemeld, die samen verantwoordelijk zijn voor 51 getroffen apps.

Om dit soort problemen te voorkomen, heeft Apple enkele jaren geleden App Transport Security (ATS) in het leven geroepen. Dit zorgt ervoor dat apps alleen nog via een beveiligde HTTPS-verbinding communiceren. Apple had de deadline voor deze techniek in eerste instantie op januari 2017 gezet, maar stelde dit later uit. Een jaar geleden bleek ook dat veel apps nog niet klaar zijn voor HTTPS.

Bekijk ook
Appmakers nog niet klaar voor Apple’s overstap naar HTTPS

Appmakers nog niet klaar voor Apple’s overstap naar HTTPS

Appmakers zijn nog niet klaar voor de verplichte overstap naar HTTPS, dat Apple in januari 2017 wil invoeren. 97% van de apps voldoet niet.

Informatie

Laatst bijgewerkt
2 november 2017 om 18:48
Onderwerp
Categorie
Apple

Reacties: 3 reacties

Reacties zijn gesloten voor dit artikel.