Apps verzenden onversleutelde data via onveilig HTTP-protocol

Redactie WINMAG Pro
Onderzoekers van Kaspersky hebben ontdekt dat sommige apps onversleutelde gebruikersdata verzenden via het onveilige HTTP-protocol, waardoor persoonlijke gegevens in verkeerde handen kunnen vallen.

Het lek ontstaat doordat deze applicaties gebruiksklare SDK’s van derden toepassen voor het weergeven van advertenties. Deze advertentie-SDK’s verzamelen gebruikersgegevens om relevante advertenties weer te geven. De toolsets verzenden gebruikersdata naar domeinen van populaire advertentienetwerken voor gerichte weergaves van advertenties aan gebruikers.

HTTP

Uit het onderzoek van de betreffende applicaties door Kaspersky is gebleken dat de gebruikersdata ongecodeerd en via HTTP worden verzonden. De data worden onversleuteld naar de servers verzonden, waardoor kwaadwillenden ze op verschillende manieren kunnen onderscheppen (man-in-the middle). 

Hackers kunnen de onderschepte gegevens ook wijzigen. Ze kunnen advertenties vervangen door schadelijke varianten, die gebruikers verleiden om applicaties te downloaden die malware bevatten.

Gebruikersdata

Miljoenen applicaties blijken SDK’s te gebruiken die onversleutelde gebruikersdata naar netwerken sturen. Door deze beveiligingsfout kunnen hackers de privégegevens van gebruikers onderscheppen, wijzigen en gebruiken voor verdere aanvallen. De gegevens die hackers kunnen onderscheppen zijn onder meer de leeftijd, het geslacht, de hoogte van het inkomen,het telefoonnummer en het e-mail adres.

HTTP is een serieus probleem

Apps die data van gebruikers via het HTTP-protocol versturen (dus onversleuteld) - en welke apps doen dat niet - hebben vanaf 25 mei een serieus probleem.

Redactie WINMAG Pro
Door: Redactie WINMAG Pro
Redactie

Redactie WINMAG Pro

Redactie