Forum Weblog Zoek Actieve Items Nieuws Columns Reviews Previews Specials Archief

Veel iOS-apps bevatten HTTP-lek

Roy

Skysecure, een bedrijf gespecialiseerd in de beveiliging van mobiele apparaten, heeft een lek gevonden in duizenden iOS-apps waarbij de software zo aangepast kan worden dat de gebruiker permanent met kwaadwillende servers verbonden kan worden.

In het kort komt het erop neer dat links naar websites in apps zo omgezet kunnen worden dat ze voortaan verbinding maken met andere servers. Die servers kunnen op hun beurt weer gebruikt worden om software op de telefoon te zetten zonder dan de gebruiker dit doorheeft.

Om gebruik te maken van dit lek moet de gebruiker wel in een onveilig netwerk zitten. In dit netwerk zit de 'aanvaller' op dat moment ook en die stuurt een zogenaamde HTTP 301-melding die aangeeft dat de server verplaatst is. Vanaf dat moment maakt de app voortaan verbinding met de verkeerde servers, ook in zijn thuisnetwerk.

Skysecure heeft een korte uitlegvideo gemaakt die uitlegt hoe dit werkt:

Help ons; deel dit item als je het leuk vond

Heb je een leuk of interessant bericht gevonden dat je graag op FOK! terug ziet? Tip ons dan via de submit!

Zoek jij altijd de leukste nieuwtjes en kun je daar leuk over schrijven? Meld je aan als nieuwsposter!

23 reacties

dinsdag 29 oktober 2013, 09:32 uur #1

Darkomen

Big surprise....
ssl ftw

dinsdag 29 oktober 2013, 09:33 uur #2

Massahysterie

Zij hebben ook een (betaalde) oplossing?

dinsdag 29 oktober 2013, 09:35 uur #3

zovty

Ik zie niet hoe deze wijzigingen permanent gemaakt worden eigenlijk.

dinsdag 29 oktober 2013, 09:42 uur #5

Rijger

I couldn't cat anymore

quote:
Op dinsdag 29 oktober 2013 @ 09:41 schreef HostiMeister het volgende:
[..]
Kan ook niet, dit is een man in the middle attack, dat houdt in dat ze alleen onveilig zijn als je op een wifi netwerk zit waar mee geknoeid is om dat mogelijk te maken.

Sensatie bericht, niet meer, niet minder.

En gelukkig knoeit de NSA nooit met MITM attacks.

Ik ben inmiddels overleden!
Everyone around you was corrupted, say something!
Hell is empty, the devil is here. We suffer in silence!
It came like Jesus to a child but it left as if raped by Satan.

dinsdag 29 oktober 2013, 09:44 uur #6

Darkomen

quote:
Op dinsdag 29 oktober 2013 @ 09:41 schreef HostiMeister het volgende:
[..]
Kan ook niet, dit is een man in the middle attack, dat houdt in dat ze alleen onveilig zijn als je op een wifi netwerk zit waar mee geknoeid is om dat mogelijk te maken.

Sensatie bericht, niet meer, niet minder.

Diverse apps accepteren de 301 redirect als wijziging en slaan het nieuwe ip adres op en gaan in de toekomst daar de data heen sturen.

Daarom is verwijderen op dat moment de oplossing.

dinsdag 29 oktober 2013, 09:44 uur #7

HostiMeister

Space Lord

quote:
Op dinsdag 29 oktober 2013 @ 09:42 schreef Rijger het volgende:
[..]
En gelukkig knoeit de NSA nooit met MITM attacks.

Die hebben ook echt toegang tot elk wifi netwerk waar je met je iPhone op zit, wil je zeggen. Niet echt vergelijkbaar in schaal, als je begrijpt wat ik bedoel.

All you know about me is what I've sold you, dumb fuck

dinsdag 29 oktober 2013, 09:45 uur #8

TagForce

quote:
Op dinsdag 29 oktober 2013 @ 09:35 schreef zovty het volgende:
Ik zie niet hoe deze wijzigingen permanent gemaakt worden eigenlijk.

een 301 is een redirect error. Je browser laat hem niet zien, en opent de link die in die error vermeld wordt ipv de pagina die eigenlijk opgevraagd wordt. Kennelijk wordt dit dus ergens opgeslagen zodat de 'verkeerde' server niet elke keer belast wordt met vragen, en de app (of heel iOS?) bij het opvragen van die pagina automatisch al de vervangende (kwaadaardige) pagina opent.

dinsdag 29 oktober 2013, 09:58 uur #9

hoeschrijfjedit

I roll you up like my rizla

Http is altijd insecure op draadloos/repeater netwerk alleen HTTPS is encryptie

dinsdag 29 oktober 2013, 10:29 uur #10

ultimasnake2

Ik dacht dat alle IOS apps moesten communiceren over HTTPS, wij doen dit ook voor onze apps natuurlijk uit veiligheid maar ook omdat we in de veronderstelling waren dat dit een requirement was....

dinsdag 29 oktober 2013, 10:36 uur #11

blieb

iOS apps? Maar Android (vanaf versie 4) en Windows Mobile hebben exact hetzelfde euvel aangezien ook zij die redirects cachen. En trouwens, ook desktop software cacht die. Kortom, alle software is de sjaak. Tenzij je de cache af en toe leegt voor de betreffende apps - en dat kan dus niet op iOS, Android en Windows Mobile. Op je desktop kan het alleen voor browsers en dus ook niet voor andere software.

HTTPS is een mogelijke oplossing maar die onderzoekers geven ook aan dat dit niet ideaal is: als de gebruiker 'zo stom is' om een niet-vertrouwd certificaat te installeren dan ben je dus ook de sjaak met https.

De oplossing die de gebruikers tonen is dat de apps zelf hun cache schoon houden. Jaja, leg de verantwoordelijkheid daar maar neer. Als een app een cache heeft, dan wil ik die kunnen legen, vanuit het besturingssysteem.

dinsdag 29 oktober 2013, 10:45 uur #12

Aaargh!

Gebruik op eigen risico.

quote:
Op dinsdag 29 oktober 2013 @ 10:29 schreef ultimasnake2 het volgende:
Ik dacht dat alle IOS apps moesten communiceren over HTTPS, wij doen dit ook voor onze apps natuurlijk uit veiligheid maar ook omdat we in de veronderstelling waren dat dit een requirement was....

Is geen requirement maar Apple raad het wel heel sterk aan.

It is impossible to live a pleasant life without living wisely and well and justly.
And it is impossible to live wisely and well and justly without living a pleasant life.

dinsdag 29 oktober 2013, 10:46 uur #13

Aaargh!

Gebruik op eigen risico.

quote:
Op dinsdag 29 oktober 2013 @ 10:36 schreef blieb het volgende:
HTTPS is een mogelijke oplossing maar die onderzoekers geven ook aan dat dit niet ideaal is: als de gebruiker 'zo stom is' om een niet-vertrouwd certificaat te installeren dan ben je dus ook de sjaak met https.

Een app kan controleren of het SSL certificaat overeenkomt met het certificaat dat hij verwacht. (SSL pinning).

It is impossible to live a pleasant life without living wisely and well and justly.
And it is impossible to live wisely and well and justly without living a pleasant life.

dinsdag 29 oktober 2013, 10:47 uur #14

ADQ

quote:
Op dinsdag 29 oktober 2013 @ 10:36 schreef blieb het volgende: en dat kan dus niet op iOS, Android en Windows Mobile.

Die laatste wordt toch niet meer gebruikt, dus daarop is het niet erg.

dinsdag 29 oktober 2013, 11:21 uur #15

blieb84

"Die servers kunnen op hun beurt weer gebruikt worden om software op de telefoon te zetten zonder dan de gebruiker dit doorheeft."

Hoe werkt dat? Ik denk dat veel bedrijven voor intern gebruik dit ook wel interessant vinden. en er is nog geen mogelijkheid gevonden om dit zonder ios developer enterprise account te doen. Blijkbaar heeft het bedrijf een manier gevonden om uit de sandbox te komen en apps te installeren. Als ze dit nou naar buiten brengen inplaats dat ze een http lek hebben gevonden?

Al gok ik dat ze het lek erger willen lijken dan het is. En idd. developers moeten gewoon veel meer gebruik maken van ssl met pinning.

dinsdag 29 oktober 2013, 11:23 uur #16

hoeschrijfjedit

I roll you up like my rizla

quote:
Op dinsdag 29 oktober 2013 @ 09:41 schreef HostiMeister het volgende:
[..]
Kan ook niet, dit is een man in the middle attack, dat houdt in dat ze alleen onveilig zijn als je op een wifi netwerk zit waar mee geknoeid is om dat mogelijk te maken.

Sensatie bericht, niet meer, niet minder.

wifi is altijd onveilig omdat het een repeater netwerk is, op een draadloos netwerk kan iedereen zien welke website je bekijkt en naar wie en wat voor whatsappjes/msn je verstuurd

dinsdag 29 oktober 2013, 11:32 uur #17

blieb

quote:
Op dinsdag 29 oktober 2013 @ 10:46 schreef Aaargh! het volgende:
[..]

Een app kan controleren of het SSL certificaat overeenkomt met het certificaat dat hij verwacht. (SSL pinning).

Yep. Dat kan.

dinsdag 29 oktober 2013, 12:22 uur #18

Mr.Bizarro

Ik kan niet wachten tot de NSA bij mij langs is geweest.
De koningin is veel interessanter.
En Merkel.

Man-man, vrouw-vrouw, wat een komkommernieuws.
Ik vertrouw al niemand meer.
Zelfs de banken kunnen legaal ons rekening plunderen.

Alleen een gek kent de waarheid

dinsdag 29 oktober 2013, 12:53 uur #19

Michielos

Rustige jongen

verzonnen nieuws

apple heeft echt geen bugs of virussen ofzo hoor

Michielos topics zijn als het eten van oesters.

dinsdag 29 oktober 2013, 13:54 uur #20

Zpottr

iPhone volgt de HTTP standaard. Frontpage nieuws. OK.

dinsdag 29 oktober 2013, 14:04 uur #21

bondage

niet meer aanwezig op FOK!

quote:
Op dinsdag 29 oktober 2013 @ 13:54 schreef Zpottr het volgende:
iPhone volgt de HTTP standaard. Frontpage nieuws. OK.

De redirect is inderdaad een HTTP standaard maar is het volgens de HTTP standaard ook de bedoeling dat het nieuwe adres permanent wordt opgeslagen op het apparaat?

Een vervalste wifi accesspoint die standaard een 301 terugstuurt kan op deze manier alle adressen in de apps die verbinding proberen te maken vervalsen, de aanpassing blijft vervolgens actief, ook als de gebruiker niet meer met het vervalste netwerk is verbonden blijft de app het verkeerde adres gebruiken.

dinsdag 29 oktober 2013, 16:19 uur #22

truthortruth

quote:
Op dinsdag 29 oktober 2013 @ 14:04 schreef bondage het volgende:
[..]
De redirect is inderdaad een HTTP standaard maar is het volgens de HTTP standaard ook de bedoeling dat het nieuwe adres permanent wordt opgeslagen op het apparaat?

Ja, het is een cacheable header, dus ios volgt gewoon de standaard...Onzin bericht dus.

Question authorities, fuck religion, educate yourself, Viva el individualismo!
There's only one way of life, and that's your own!

dinsdag 29 oktober 2013, 23:39 uur #23

Fleischmeister

Eet vleesch

quote:
Op dinsdag 29 oktober 2013 @ 16:19 schreef truthortruth het volgende:
[..]

Ja, het is een cacheable header, dus ios volgt gewoon de standaard...Onzin bericht dus.

En zelfs al is het niet cacheable, het is een permanent redirect. Even opgezocht:

http://tools.ietf.org/html/rfc2616#section-10.3.2

quote:

The requested resource has been assigned a new permanent URI and any
future references to this resource SHOULD use one of the returned
URIs. Clients with link editing capabilities ought to automatically
re-link references to the Request-URI to one or more of the new
references returned by the server, where possible. This response is
cacheable unless indicated otherwise.

Dat relinken houdt in dat bv. zoekmachines als Google bij het aantreffen van een 301 tijdens het crawlen hun database updaten met de nieuwe URL. Waarom zou de app of iOS zijn eigen 'database' dan zo niet permanent mogen updaten? De oude server hoeft zo steeds minder redirects te doen, en de laadtijden voor de gebruiker zijn sneller.

Dit is de standaard, de client software volgt het