Afbeelding: Fahl, Harbach, Muders, Smith, Baumgärtner, Freisleben
Bij een analyse van Android-apps die gebruik maken van versleuteling, kwamen onderzoekers tot rampzalige bevindingen. Meer dan 1000 van de 13.500 populairste apps vertoonden symptomen van een foutieve en onveilige implementatie van SSL/TLS-versleuteling. Tests met 100 geselecteerde apps bevestigden dat 41 daarvan gevoelig waren voor concrete aanvallen. Naast bank- en creditcardgegevens kregen de onderzoekers ook toegangstokens voor Facebook, e-mailaccounts en messaging-services in handen.
Een van de tests laat het probleem goed zien. De onderzoekers confronteerden Zoner AntiVirus voor Android met een vervalste signature die bij de app zelf paste. De app zag zichzelf daarop prompt als bedreiging en bood aan zichzelf te verwijderen.
De onderzoekers onderzochten eerst de code van de apps statisch op typische aanwijzingen voor ontoereikende controle van de certificaten die de identiteit van de communicatiepartner moet bevestigen. Omdat niet altijd duidelijk is of de gevonden code ook echt gebruikt wordt, voerden ze daarna concrete man-in-the-middle-attacks uit om de versleutelde verbinding te hacken.
De daarbij gevonden zwakke plekken kunnen verdeeld worden in twee categorieën. 20 Apps accepteren simpelweg elk certificaat, 21 andere controleren wel of het certificaat een geldige signature heeft, maar niet of hij wel op de juiste naam staat. Zo konden de beveiligingsexperts met een geldig certificaat voor hun eigen server de antivirussoftware voor de gek houden.
De bevindingen van de onderzoekers zijn na te lezen in de paper Why Eve and Mallory Love Android: An Analysis of Android SSL (In)Security. Binnenkort willen ze ook de voor het onderzoek ontwikkelde tool MallaDroid beschikbaar maken. Ze maken niet bekend om welke apps het precies gaat, maar het blijken zeker geen exoten te zijn. Volgens cijfers van Google Play zijn de kwetsbare apps 40 tot 185 miljoen keer geïnstalleerd.
