Sommige Android-apps zo lek als een mandje

Apps vatbaar voor man-in-the-middle aanval

De gebrekkig beveiligde apps maakten geen gebruik van gangbare encryptiemethoden en verhinderden niet dat kwaadwillenden een zogeheten ‘man in the middle-aanval kunnen uitvoeren. Bij zo’n aanval schuift malware van de aanvallers tussen de apparatuur van de eindgebruiker en de dienst waarmee hij communiceert, om zo het verkeer af te vangen en transacties te wijzigen of eigen transacties op kosten van het slachtoffer uit te voeren.

De Duitse onderzoekers richtten voor hun onderzoek een nep-wifi-hotspot in. Vervolgens tapten ze het draadloze internetverkeer af dat via dit draadloze access point liep. Het bleek onder andere mogelijk inloggegevens voor banken, sociale netwerken, bedrijfsnetwerken en webmaildiensten af te vangen.

De onderzoekers waren ook in staat de beveiliging van de apps op de mobiele apparatuur te omzeilen en eigen instructies aan de apps te geven. Ze konden verder beveiligde apps markeren als onveilig. Een andere mogelijkheid was het opdracht geven voor een overboeking terwijl de rekeninghouder niets in de gaten had.

Veel gebruikers herkennen beveiligde verbinding niet goed

Verder blijkt ook hier de mens in veel gevallen de zwakste schakel. De onderzoekers hielden ter aanvulling een peiling onder een beperkte groep van circa 750 eindgebruikers. Ongeveer de helft van hen bleek niet in staat goed in te schatten in hoeverre een browsersessie met een online-dienst beveiligd is.

Het Engelstalige onderzoeksverslag staat op de website van de Leibniz Universiteit in Hannover [PDF].