Android-ontwikkelaars hebben geen kaas gegeten van SSL

De onderzoekers van FireEye testten de apps op drie basale fouten in de implementatie van SSL:

• het door de vertrouwensmanager laten uitvoeren van een test of de digitale certificaten die websites presenteren geldig zijn,
• het verifiëren of de hostnaam van de server op afstand correct is en
• het negeren van SSL-fouten bij toepassing van Webkit.

De resultaten waren ontluisterend.

Veel fouten in populairste Android-apps

Bij de 1000 populairste gratis apps maken 614 gebruik van SSL/TLS in de communicatie met de server. 73 procent ervan checkt de validiteit van de certificaten echter niet. 77 procent van de 285 apps die Webkit gebruiken, negeren waarschuwingen voor SSL-fouten die Webkit genereert. 8 procent van de apps verifieert niet eens de hostnaam van servers. Voor de 10.000 apps geeft FireEye alleen percentages ten opzichte van het totaal: 40 procent checkt de validiteit van certificaten niet, 13 procent negeert waarschuwingen voor SSL-fouten en 7 procent verifieert de hostnaam niet.

Deze programmeerslordigheden maken de apps uitermate kwetsbaar voor zogeheten man-in-the-middle-aanvallen, stelt FireEye. Welke apps allemaal kwetsbaar zijn, specificeert het bedrijf niet. Maar het beschrijft wel aanvallen tegen advertentiebibliotheken Flurry en Chartboost, die in veel apps worden gebruik, en Camera 360 Ultimate. De ontwikkelaars van deze software hebben inmiddels een verbeterde versie uitgebracht. Bij een vierde applicatie, die FireEye niet bij name noemt, is dat niet het geval; de onderzoekers wisten geen contact te leggen met de ontwikkelaars.

FireEye adviseert voorzichtigheid

Hoe het met de andere apps zit, is onduidelijk. Maar kennelijk zijn vele nog niet gepatcht. FireEye adviseert bezitters van een Android-toestel om geen websites te openen die om inloggegevens vragen op publieke wifi-netwerken, en voorzichtig om te springen met e-mails met onbekende afzender.