Volgens beveiligingsbedrijf Securify versturen honderden Nederlandse apps voor Android persoonlijke informatie van gebruikers zonder beveiliging, waardoor gegevens kunnen worden onderschept. De resultaten van het onderzoek worden gepresenteerd tijdens de Android-conferentie DroidCon1 die tot en met dinsdag in Amsterdam plaatsvindt.
Voor het onderzoek bestudeerde Securify van september tot november dit jaar duizend willekeurige gratis Android-apps, die via de Google Play Store te verkrijgen zijn. Met deze apps onderschepten de onderzoekers BSN-nummers, e-mailadressen, telefoonnummers, persoonsgegevens, wachtwoorden, bankrekeningnummers, foto’s en dagboeken van gebruikers. Het gaat volgens het bedrijf onder meer om apps voor reizen, financiën, chatten en daten. Het bedrijf wil op dit moment nog niet zeggen om welke apps het gaat.
Het beveiligen van communicatie met versleuteling is belangrijk om te voorkomen dat hackers gevoelige gegevens kunnen bemachtigen via zogenaamde ‘Man in The Middle’-aanvallen. Die komen steeds vaker voor op plaatsen waar gratis WIFI aanwezig is, zoals in de trein of bij Starbucks of McDonalds.
Uit het onderzoek blijkt dat 46 procent van de apps die gevoelige gegevens vragen en versturen dit op een onveilige manier doen. Van de duizend apps bleken er 531 gevoelige gegevens te versturen. De overige apps hadden geen internet nodig of verstuurden niets gevoeligs. Er is volgens Securify overigens geen specifieke samenhang met het Android-platform. De verwachting is dat de resultaten van een onderzoek naar iPhone/iPad apps niet anders zullen zijn.
De onderzoekers van Securify probeerden de eigenaren van kwetsbare apps te informeren. Soms verliep dat soepel en werden lekken snel gedicht. Vaak kost het helaas erg veel tijd en moeite om de informatie op de juiste plek te krijgen. In uiterste pogingen belde onderzoekers met woordvoerders, willekeurige IT-medewerkers en met, meestal wel goed bereikbare, sales medewerkers. Ook werd uren doorgebracht bij helpdesks. Als er dan eindelijk contact was en de details werden aangeleverd bleef het dikwijls stil of liep het spoor na interne overdracht opnieuw dood. Een verwoede poging om een security manager van een mediabedrijf te informeren via een persoonlijk bericht op LinkedIn, werd zelfs door hem geblokkeerd onder het mom van ‘ongepaste inhoud’. Securify ziet hierin een belangrijke oorzaak waarom onderzoekers vaak uit frustratie details over beveiligingslekken maar gewoon publiceren om wel snel de boel in beweging te krijgen. Door een goed meldpunt in te richten kan de kans op dergelijke (ir)responsible disclosure incidenten worden beperkt.
Het blijkt onbegonnen werk om alle eigenaren van de kwetsbare apps te bereiken. Securify zal daarom de lijst van kwetsbare apps voorlopig nog niet publiceren. Op https://www.securify.nl/1000apps/ kunnen bouwers van apps binnenkort controleren of hun app(s) ook zijn getest en wat de uitkomsten zijn. Het beveiligingsbedrijf hoopt dat deze ‘omgekeerde disclosure’-werkwijze wel effectief blijkt om snel in contact te komen met de juiste personen en zo sneller zaken opgelost te krijgen. Ook verwacht Securify binnenkort een omgeving te bieden waar bouwers hun app gratis online kunnen testen op dergelijke Man in The Middle aanvallen.