Honderden zakelijke communicatie-apps kwetsbaar voor hackers

  • Deel dit artikel:
apps kwetsbaar voor hackers

24 maart 2015 - Mobile Security

Beveiligingsbedrijf Appthority heeft een kwetsbaarheid ontdekt in honderden apps. Door een programmeerfout kan op deze apps worden ingelogd en vervolgens kunnen hieruit gebruikersgegevens en gespreksverslagen worden gehaald. Het gaat om apps die gebruik maken van Twilio, een dienstverlener van communicatiediensten. Met de Twilio Rest API of SDK bouwen ontwikkelaars apps voor het versturen en ontvangen van berichten en voor het voeren van gesprekken.

Bedrijfskritische apps kwetsbaar voor hackers

Veel ontwikkelaars die deze software gebruiken hebben hun inloggegevens in de code van de app laten staan. Wanneer een hacker deze gegevens boven water haalt, heeft hij toegang tot de servers van Twilio waar de gespreksgegevens van de gebruiker zijn opgeslagen. "Die gegevens zijn vaak bedrijfskritisch zoals contractbesprekingen, prijsonderhandelingen of de inhoud van vertrouwelijke gesprekken", aldus Appthority. Volgens het bedrijf zijn er zeker 685 apps waar deze 'achterdeur' in zit.

Eavesdropper

Het lek werd al in april ontdekt door Appthority en gemeld aan de ontwikkelaars. Vanaf eind augustus daalde het aantal apps met deze kwetsbaarheid naar 102 voor iOS en 85 voor Android. De kwetsbaarheid is 'eavesdropper' gedoopt, omdat iedereen die de inloggegevens achterhaalt alle gegevens rond tekstberichten en gesprekken kan afluisteren.

Eavesdropper werkt in drie stappen:

  1. Apps zoeken
    Er wordt een eenvoudige zoekopdracht uitgevoerd naar apps die de Twilio API of - SDK gebruiken.
  2. Zoeken binnen apps
    Met apps waarmee je binnen apps kunt zoeken gaat men op zoek naar het woord 'twilio' en vervolgens naar combinaties gebruikersnaam/wachtwoord.
  3. Uitlezen
    Vervolgens worden gegevens van de gebruiker en inhoud van gepleegde oproepen uitgelezen.

"Om eavesdropper toe te passen hoeft men geen toegang tot het toestel zelf te hebben of malware of een kwetsbaarheid in het besturingssysteem toe te passen", aldus Appthority. "Wanneer een ontwikkelaar de juiste richtlijnen voor wachtwoordgebruik niet heeft toegepast liggen al deze gegevens gewoon op straat." Van de Android-apps is bekend dat ze 180 miljoen maal zijn gedownload.

Appthority heeft een uitgebreid rapport opgesteld met alle informatie over de eavesdropper-kwetsbaarheid in apps.

Laat uw reactie achter

U moet ingelogd zijn om een post te plaatsen.

‹‹ Ga terug naar nieuwsoverzicht
'BTG inspireert en innoveert'