1.500 iOS-apps zijn kwetsbaar voor een beveiligingsfout

We hebben de meest gedownloade apps in de App Store doorzocht en ontdekten dat maar heel weinig van de populairste gratis en betaalde apps nog steeds last hebben van de bug. Hoe dan ook, het is het beste om te controleren of uw apps kwetsbaar zijn en te leren hoe u uzelf kunt beschermen.

Hier is alles wat u moet weten.

Hier ziet u hoe hackers de fout misbruiken

Volgens de beveiligingsbedrijfhebben ongeveer twee miljoen mensen apps geïnstalleerd die lijden onder de HTTPS-verlammende kwetsbaarheid. De apps omvatten onder meer Citrix OpenVoice Audio Conferencing, Alibaba's mobiele app, Movies by Flixster met Rotten Tomatoes, KYBankAgent 3.0 en Revo Restaurant Point of Sale. De onderzoekers proberen de volledige lijst met apps geheim te houden om te voorkomen dat iOS-gebruikers in aanraking komen met nog meer hackers die de kwetsbaarheid voor snode doeleinden zouden gebruiken. Op zijn website biedt SourceDNA echter een tool aan ontwikkelaars waarmee ze kunnen controleren of hun apps veilig zijn.

De onderzoekers ontdekte dat de kwetsbaarheid voortkomt uit een probleem in een oudere versie van een open-source codebibliotheek genaamd AFNetworking, waarmee ontwikkelaars netwerkmogelijkheden aan hun apps kunnen toevoegen. AFNetworking heeft het probleem ongeveer drie weken geleden opgelost en veel ontwikkelaars hebben hun iOS-apps al bijgewerkt om het gat te dichten, maar minstens 1.500 iOS-apps zijn nog steeds kwetsbaar. Onder de bedrijven die de fout al hebben verholpen, bevinden zich Yahoo, Uber en Microsoft.

Hebben uw iOS-apps de AFNetworking SSL-validatiefout, waardoor de gegevens van uw gebruikers zichtbaar worden? Ontdek het hier! http://t.co/Y4cwr9vwXb

— BronDNA (@BronDNA) 20 april 2015

SourceDNA legde in een blogpost uit dat elke app die nog steeds de oudere versie van de AFNetworking-code is kwetsbaar voor man-in-the-middle-aanvallen waarmee hackers kunnen decoderen HTTPS-gecodeerde gegevens. Zo werkt het: Hackers die de fout willen misbruiken, springen eenvoudigweg op het Wi-Fi-netwerk van een koffieshop om het beoogde apparaat te monitoren. De hackers sturen het apparaat vervolgens een frauduleus Secure Sockets Layer-certificaat. Meestal beseft het apparaat dat het certificaat nep is en verbreekt het apparaat de verbinding onmiddellijk. Apparaten met apps die de oudere versie van de AFNetworking-code gebruiken, hebben echter een logische fout waardoor het nepcertificaat zonder veiligheidscontrole kan passeren.

De reden waarom de controle nooit door deze apps wordt uitgevoerd, is dat AFNetwork versie 2.5.1 geen certificaat vastzetten, wat ervoor zorgt dat apps een specifiek certificaat gebruiken voor HTTPS-authenticatie en encryptie. Door het ontbreken van deze extra veiligheidscontrole zijn de getroffen apps volledig open voor hackers. Nu SourceDNA de kwetsbaarheid publiekelijk heeft onthuld, zullen app-ontwikkelaars hoogstwaarschijnlijk actie ondernemen om de fout te verhelpen, maar dit kan enige tijd duren.

Hier leest u hoe u uzelf kunt beschermen

Op basis van het rapport lijkt het erop dat hackers uw apparaat moeten aanvallen via openbare Wi-Fi-netwerken zoals die in cafés en winkels. Elk niet-vertrouwd wifi-netwerk moet voorlopig worden vermeden. U kunt het vernieuwen van apps op de achtergrond ook uitschakelen op uw iPhone of iPad, zodat de apps niet proberen verbinding te maken met open netwerken.

Als u zich zorgen maakt dat uw iPhone of iPad mogelijk getroffen apps bevat, kunt u dat doen controleer uw apps met behulp van de tool van SourceDNA. Je moet ook al je apps updaten voor het geval de getroffen ontwikkelaars al een update hebben uitgebracht om het gat te dichten. Je kunt je apps updaten door naar de App Store-app te gaan en naar het tabblad Updates rechtsonder te gaan.

We hebben de tool van SourceDNA gebruikt om naar een handvol populaire apps in de App Store te zoeken om te zien welke door de bug zijn getroffen. We ontdekten dat de overgrote meerderheid van de apps in de top 100 gratis apps in de App Store veilig zijn. We hebben ook een handvol van de best betaalde apps gecontroleerd en vastgesteld dat er maar heel weinig zijn getroffen.

Zoals u kunt zien, is het aantal getroffen apps dat populair is eigenlijk heel klein, en dat aantal blijft krimpen naarmate bedrijven updates uitvoeren. Hoewel 1.500 apps een enorm aantal lijkt, is de realiteit, gezien de miljoenen apps in de App Store, veel kleiner dan je zou denken. Desalniettemin is het beter safe than sorry, dus bekijk hier uw apps.

Aanbevelingen van de redactie

• 17 verborgen iOS 17-functies waarover u moet weten
• 11 functies in iOS 17 die ik niet kan wachten om te gebruiken op mijn iPhone
• iOS 17 is niet de iPhone-update waar ik op hoopte
• Alles wat Apple niet heeft toegevoegd aan iOS 17
• Krijgt mijn iPhone iOS 17? Hier vindt u elk ondersteund model

Upgrade uw levensstijlMet Digital Trends kunnen lezers de snelle technische wereld in de gaten houden met het laatste nieuws, leuke productrecensies, inzichtelijke redactionele artikelen en unieke sneak peeks.