Gegevens die via de Android-apps voor Facebook, Twitter of Google Calendar over het internet worden verstuurd, worden niet versleuteld, ontdekte een Amerikaanse hoogleraar. Op publieke wifi-hotspots is dat een risico.

Dan Wallach, universitair hoofddocent computerwetenschappen in Houston, ontdekte dat bepaalde Android-apps gegevens onversleuteld verzenden. De ontdekking werd gedaan toen Wallach tijdens zijn lessen netwerkverkeer van en naar een Android-telefoon liet sniffen met Wireshark en de tcp/udp-proxy Mallory.

Daarbij bleken de sociale-netwerkapps onbeveiligd gegevens te versturen. Het is nog onbekend of het bij Twitter enkel om de officiële client gaat of om alle apps die de Twitter-api gebruiken. In het geval van Twitter betekende het gebrek aan versleuteling dat alle verzonden tweets konden worden bekeken; dat zou bij privéberichten een privacyprobleem kunnen opleveren. Omdat Twitter gebruikmaakt van oauth was login-informatie niet te achterhalen.

Het is onduidelijk of dat bij Facebook wel kan; die app gebruikt in ieder geval geen oauth. Opvallend genoeg werd een instelling in de smartphone van de hoogleraar, waardoor al het netwerkverkeer met ssl zou moeten worden versleuteld, genegeerd. Ook Google Calendar synchroniseerde zijn gegevens zonder encryptie; Google Voice- en Gmail-gegevens werden weer wel versleuteld. Het gebrek aan een beveiligde verbinding maakt dat gegevens op publieke wifi-hotspots kunnen worden afgeluisterd. Ook bestaat het gevaar van man in the middle-aanvallen.

bron: tweakers.net