Betalen met je smartphone: het klinkt handig, maar de enige manier om dat ook veilig te houden, is door helemaal geen andere apps te downloaden op je smartphone. Want de kans dat je met apps ellende binnenhaalt, is heel groot.
De schijnwerpers zijn deze keer weer eens gericht op Android. Beveiligingsspecialist Sam Browne liet studenten van zijn cursus ethisch hacken aan het City College in San Francisco onderzoek doen naar de reactie van app-bouwers op een lek dat zeven maanden geleden bekend raakte. En de resultaten waren ontluisterend.
Browne en zijn studenten onderzochten 15 apps die in september 2014 bij gebruik van een beveiligde https-verbinding kwetsbaar bleken voor een man-in-the-middle-aanval, doordat ze vervalste TLS-certificaten accepteerden. Dat maakte het relatief eenvoudig om gebruikersnamen, wachtwoorden en andere gevoelige gegevens af te luisteren.
Dat is nu dus nog zo, constateerde Browne, zelfs als er in de tussentijd van die apps een update was gepubliceerd. Eén van die apps was nota bene een app voor mobiel bankieren van de State Bank of India.
Honderden miljoenen kwetsbare smartphones
Het gaat alles tezamen zeker om 350 miljoen Android-toestellen waarop de kwetsbare software nog steeds aanwezig is. En dan hebben we het nog alleen over de 15 apps die Browne onderzocht.
Bij de ontdekking van het lek constateerde de CERT Divison van het Software Engineering Institute dat 23.668 apps deze kwetsbaarheid bevatten. Ook al zal Browne geen aselecte steekproef hebben getrokken, dan nog is er weinig reden om aan te nemen dat niet veel meer van de destijds kwetsbare apps nog niet afdoende zijn gerepareerd.
Opmerkelijk is ook dat Google kennelijk geen effectieve controle en druk uitoefent op de apps die via zijn Google Play zijn gedistribueerd om bekende lekken afdoende te repareren. Dat gaat het wel doen, zegt het in een reactie op de publiciteit die Browne uitlokte. Maar dat gebeurt dus niet uit eigen beweging.
Apple lijdt aan hetzelfde probleem
Uitwijken naar de iPhone is geen alternatief. Apple heeft wel de reputatie zijn apps streng te controleren, maar ook in App Store werden onlangs nog 1.500 apps ontdekt die 3 weken na de bekendmaking van een lek nog geen maatregelen hadden genomen om hun gebruikers te beschermen.
SourceDNA, dat daarover de kat de bel aan bond, claimt dat er al meer dan 25.000 iOS-apps met lekken in omloop zijn. Vorige week bleek ook dat iOS niet brandschoon is bij de verwerking van SSL-certificaten. Hackers blijken vastlopers uit te kunnen lokken.
SSL/TLS geeft op smartphone geen garanties
Kortom: een beveiligde verbinding op je smartphone is niet wat het lijkt. Voordat Google en Apple voldoende maatregelen hebben genomen om de veiligheid van hun platformen op niveau te brengen, kun je maar beter niet mobiel bankieren als je je smartphone ook wel eens gebruikt op plekken waarvan je niet weet of er iemand kan meeluisteren.
Of je moet helemaal geen andere apps downloaden en gebruiken, natuurlijk, en hopen dat de ontwikkelaars van jouw banking-app hun zaakjes beter voor elkaar hebben dan de ontwikkelaars die de State Bank of India inhuurde.
Bron: Automatiseringgids
