Honderden vaak gedownloade Android- en iOS-apps zijn nog steeds kwetsbaar voor FREAK-aanvallen, terwijl er wel al patches voorhanden zijn.
Beveiligingsspecialist FireEye heeft bijna 11.000 Android-apps uit de Google Play-store geanalyseerd op hun kwetsbaarheid voor FREAK. Daarvan zijn er nog steeds ruim 1.200 niet gepatcht. Het gaat om apps die allemaal meer dan een miljoen keer zijn gedownload. In totaal zijn de kwetsbare apps 6,3 miljard keer gedownload.
Ruim 650 van de ‘kwetsbare’ Android-apps gebruiken de gebundelde OpenSSL-library van Android, en ruim 550 hebben hun eigen gecompileerde OpenSSL-library. Deze versies zijn allemaal kwetsbaar voor FREAK.
FireEye scande tevens ruim 14.000 populaire iOS-apps. Daarvan zijn er 771 nog kwetsbaar voor FREAK. De meeste daarvan werken nog met iOS-versies die ouder zijn dan 8.2.
Afluisteren
FREAK, dat staat voor Factoring attack on RSA-EXPORT Keys, stak eerder deze maand de kop weer op. Het FREAK-lek zit in SSL/TLS en zorgt ervoor dat de beveiligde communicatie van toestellen die draaien op Android, iOS en OS X in combinatie met bepaalde websites gemakkelijk afgeluisterd kan worden.
De FREAK-kwetsbaarheid kon ontstaan omdat de regering Clinton in de jaren 90 bepaalde dat de sleutels voor alle Amerikaanse encryptieproducten die voor het buitenland bestemd waren, niet langer mochten zijn dan 512 K.
Die versleuteling valt intussen eenvoudig te kraken, maar veel apparaten werken nog steeds met de sleutels.
I.s.m. Automatiseringgids
