100 apps in de Google Play Store hebben een rammelende implementatie van de HTTPS-versleuteling, waardoor inloggegevens te onderscheppen zijn. Tussen de onveilige apps zitten zeer populaire, waardoor het totaal aantal downloads meer dan 200 miljoen bedraagt.
Deze conclusie trekt het bedrijf AppBugs na onderzoek. De onderzoekers hebben de makers begin dit jaar aangeschreven, maar slechts een kwart van de apps werd daarna voorzien van een update.
De onderzoekers nemen de officiële app van de Amerikaanse National Basketball League (NBA) als voorbeeld. Om die app te kunnen gebruiken, is een NBA League Pass Account nodig, waar gebruikers doorgaans 199 dollar voor moeten neertellen.
Door een foute implementatie van het protocol dat een beveiligde verbinding opzet, is het alsnog mogelijk een man-in-the-middle-aanval op te zetten en de login-gegevens van nietsvermoedende basketbalfans te registeren. Die kunnen vervolgens worden gebruikt om het NBA League Pass Account in te zien.
AppBugs vond 100 apps waarbij de login-procedure niet goed werd beschermd. Daarbij bevinden zich ook de apps van restaurantketen PizzaHut en het Amerikaanse grootwarenhuis Safeway. Na melding bij de makers werden er 28 gerepareerd.
Bron: Automatiseringgids
