Mobiele Apps PayPal zo lek als een mandje |
zondag 28 oktober 2012 |
De mobiele apps voor de libraries van onder andere PayPal en Amazon blijken niet veilig te zijn. Door een gebrekkige programmering kunnen vervalste SSL-certificaten door de mazen van het net glippen en kan er dus onterecht een 'beveiligde' verbinding worden opgezet.
Programmeerfouten in API’s Volgens onderzoekers van Stanford en de University of Texas, die applicaties op Windows, Linux, iOs en Android onder de loep hebben genomen, is er veel mis en ligt dat aan het ontwerpfouten van de API’s die de SSL-libraries gebruiken. "Onze belangrijkste conclusie is dat SSL-certificaat-verificatie helemaal kapot is in veel kritische applicaties en libraries." Verder stelden de onderzoekers vast dat veel ontwikkelaars voor hun APPs de certificaatspecificatie gewoonweg uitschakelen om problemen met SSL-libraries te voorkomen. Volgens programmeursforum Stack Overflow zouden ontwikkelaars verplicht moeten worden tot SSL-certificaatverificatie om gebruikers van de software voor het versturen van financiële informatie en vertrouwelijke data, te beschermen tegen een man-in-the-middle-aanval. Oplossing In Texas is gebleken dat de software eigenlijk nooit is uitgetest in combinatie met andere dan de bij de server gebruikelijke certificaten. De conclusie van de onderzoekers is dat de libraries herontworpen moeten worden en de software beter getest moet worden, vooral bij onverwachte waarden. |