'iOS net zo gevoelig voor SSL-fouten als Android'

Ontwikkelaars van Android-apps gaan nog altijd met enige regelmaat de mist in met SSL-implementatie. Maar in principe is geen enkel mobiel platform veilig.

Een flink deel (8 procent) van de apps in Google Play is gevoelig voor man-in-the-middle aanvallen. Dat blijkt uit een specialistisch onderzoek van Duitse universiteiten onder 13.500 Android-apps. Hoewel deze manier van inbreken redelijk omslachtig is, blijft het een serieus beveiligingsprobleem dat in wezen platform-onafhankelijk is, stelt Android-ontwikkelaar Mathijs Vogelzang. "Maar een ander protocol lost dat niet op."

Twee potentiŽle fouten
De resultaten van het Duitse onderzoek zijn niet nieuw, stelt Vogelzang. Al jaren tonen onderzoekers aan dat de versleuteling van een SSL-certificaat kan worden gebroken via man-in-the-middle-aanvallen over een WiFi-netwerk waarop bijvoorbeeld een zwak wachtwoord zit. Een hacker onderschept de communicatie met behulp van een programma (bijvoorbeeld SSLStrip en Arpsproof) en verschaft zich toegang tot soms zeer gevoelige informatie.

In dit meest recente geval zijn er twee manieren waarop het fout gaat, denkt Vogelzang. Of de app-maker controleert een SSL-certificaat Łberhaupt niet, of een gebruikte SSL-autoriteit die inmiddels niet meer bestaat wordt nog wel vertrouwd door een app. Zo kan een hacker uiteindelijk toegang krijgen tot alle gegevens die een applicatie verstuurt over een verbinding.

Schuld ligt bij app-bouwers
De schuld van dergelijk kwetsbaarheden ligt aan de kant van de app-bouwers en is daarom platform-onafhankelijk, aldus de onderzoekers. In dit geval gaat het om Android-applicaties, maar het kan volgens Vogelzang net zo goed op andere mobiele platformen voorkomen, waaronder iOS. "Dat denk ik wel. Het is net zoals bij dit Android-onderzoek wel enorm veel werk om na te gaan. Maar ik ben er zeker van dat er ook bij Apple onveilige implementaties tussen zitten", legt Vogelzang uit.

Toch blijft het een aanval met haken en ogen. "Het potentieel misbruik is niet heel groot. Je moet controle krijgen over iemands internetconnectie en je moet op zoek gaan naar een SSL-implementatie die niet compleet is. Het is daarom niet zo gemakkelijk te misbruiken als bijvoorbeeld het recente lek bij WhatsApp." Vogelzang doelt op het veiligheidsprobleem dat WhatsApp zichzelf had aangemeten door een omgedraaid IMEI-nummer default te gebruik als wachtwoord.