Praten over populaire mobiele apps op Android- of iOS-besturingssystemen en je hebt onder andere Instagram, Facebook of OkCupid bovenaan de lijst. Hoewel deze apps momenteel door miljarden gebruikers over de hele wereld worden gebruikt, tonen de resultaten van beveiligingsonderzoek aan dat veel populaire apps in het Android-ecosysteem slechte basisbeveiligings- en privacypraktijken hebben.
De Cyber Forensics Research and Education Group van de University of New Haven heeft kwetsbaarheden gevonden in Instagram, Grindr en OkCupid, om er maar een paar te noemen, op basis van beoordelingen die probeerden te valideren dat applicaties voldoen aan basisvoorzorgsmaatregelen om gevoelige informatie tegen hackers te beschermen. en praktijken te onderhouden. die particuliere online gebruikers.
Hetzelfde team heeft in het verleden ook beveiligingsscans uitgevoerd van veel mobiele apps, maar slechts voor een beperkt aantal apps. Deze keer werkte de groep aan het verbreden van de reikwijdte van hun onderzoek en het identificeren van fouten en zwakheden in veel van de best gefactureerde apps op het besturingssysteem van Google. De kwetsbaarheden die door het team zijn ontdekt, kunnen gevolgen hebben voor meer dan een miljard gebruikers, wat overeenkomt met het aantal Instagram-gebruikers.
UNHcFREG-directeur Ibrahim Baggili beschreef de manier waarop apps worden ontwikkeld als “slordig” met betrekking tot hoe gegevens worden verwerkt wanneer apps gegevens uitwisselen over bepaalde functies. Om erachter te komen, analyseerde het team het verkeer met behulp van Wireshark- en NetworkMiner-tools om te zien hoe de gegevens worden verzonden. In het geval van Instagram worden de foto’s die door gebruikers worden geüpload, opgeslagen op Instagram-servers zonder een versleutelingssysteem, wat betekent dat derden er zelfs zonder authenticatie toegang toe hebben.
Andere apps die verantwoordelijk zijn bevonden voor dezelfde beveiligingsfouten zijn TextPlus, MessageMe, OoVoo, HeyWire, Tango en Grindr. Gezien het feit dat deze apps tot de favorieten op Android behoren en hun respectievelijke categorieën hebben overtroffen in termen van het aantal keren dat ze zijn gedownload, toont dit de omvang van de beveiligingsimplicaties.
Ontvangers ontvangen uw inhoud via een eenvoudig HTTP-protocol, wat betekent dat het niet beschermd is. Wanneer deze URL per ongeluk in handen van anderen wordt gevonden, kunnen ze gemakkelijk de link en inhoud zien, wat de privacy van gebruikers in gevaar zou kunnen brengen.
Het onderzoeksteam beveelt aan dat die apps de afbeeldingen van hun servers verwijderen, of op zijn minst een soort validatieproces implementeren voor degenen die de inhoud willen bekijken. Maar dat is nooit het geval geweest.
Sommige berichten bleken onversleuteld te zijn, zoals in het geval van OoVoo en MeetMe.
Al deze beveiligingsproblemen stellen gegevens bloot aan hackers op openbare draadloze netwerken, in wat nu bekend staat als een man-in-the-middle-aanval.
