Veel populaire iOS-apps zijn gevoelig voor een beveiligingslek in een bibliotheek die SSL-verbindingen opzet. Veel apps voor de iPhone en iPad maken gebruik van de AFNetworking-bibliotheek om verbindingen op te zetten, in versie 2.5.1 zit echter een bug die ervoor zorgt dat SSL-certificaten niet worden geverifieerd. Veel apps maken echter nog gebruik van deze versie.
Zoals de apps niet worden bijgewerkt en de AFNetworking-bibliotheek wordt bijgewerkt naar versie 2.52 is het mogelijk om de data van SSL-verbindingen te onderscheppen. Als er gebruik wordt gemaakt van open wifi-netwerken zouden op deze manier loginnamen en wachtwoord kunnen worden onderschept. Bijvoorbeeld van populaire diensten van Citrix, Microsoft, Uber en Yahoo die allemaal gebruik maken van deze bibliotheek.
Het beveiligingslek was slechts zes weken aanwezig in de AFNetworking, daarna werd het lek gedicht door een nieuwe versie uit te brengen. Het bedrijf SourceDNA heeft een test gedaan onder 20.000 apps en daaruit kwam naar voren dat 55 procent gebruik maakt van versie 2.5.0 waar het beveiligingslek nog niet in zat. Zo’n 40 procent van de apps maakt geen gebruik van de SSL API waar het lek in zit en 5 procent bleek wel gevoelig te zijn. Dat komt dus neer op 1000 apps van de 20.000 apps die zijn getest.
Daarmee heeft SourceDNA laten zien dat er flink wat apps gevoelig zijn voor dit beveiligingslek en dat de app-ontwikkelaars aan de bak moeten om het lek zo snel mogelijk te dichten. Op deze website kan je controleren of een app gevoelig is voor het beveiligingslek.
2 uur geleden
