Veel populaire dating-apps versturen gebruikersdata via het onveilige HTTP-protocol doordat deze apps gebruiksklare SDK’s van derden toepassen voor het weergeven van advertenties. De SDK’s maken deel uit van enkele van de meest gebruikte advertentienetwerken. Er zijn apps bij die wereldwijd miljarden keren zijn geïnstalleerd.
Door deze ernstige beveiligingsfout kunnen privégegevens worden onderschept, gewijzigd en gebruikt voor verdere aanvallen.
Analyse heeft aangetoond dat data ongecodeerd en via HTTP worden verzonden. De gegevens leggen de reis naar de servers derhalve onbeschermd af. Omdat er geen sprake is van encryptie, kunnen de data in principe door iedereen worden onderschept via onbeveiligde wifi, door de internetprovider of met behulp van malware op een thuisrouter. Nog ernstiger is dat de onderschepte gegevens ook kunnen worden gewijzigd, wat betekent dat de toepassing schadelijke advertenties kan laten zien in plaats van legitieme.
"We dachten eerst dat we te maken hadden met een paar gevallen van onzorgvuldig applicatieontwerp, maar de omvang van dit probleem blijkt enorm te zijn”, zegt Roman Unuchek, beveiligingsonderzoeker bij Kaspersky Lab. “Miljoenen applicaties bevatten SDK's van derden, waardoor privégegevens gemakkelijk kunnen worden onderschept en gewijzigd."
Alles bij de bron; ExecutivePPL