Ga naar inhoud

Aanbevolen berichten

Geplaatst:

De zeer populaire Chinese keyboard-app Sogou heeft lange tijd de toetsaanslagen van miljoenen gebruikers niet goed beveiligd, waardoor die eenvoudig waren af te luisteren. Via de app, die 450 miljoen maandelijkse actieve gebruikers telt, is het eenvoudig om Chinese karakters op een smartphone of computer in te voeren. De ontwikkelaars hadden echter hun eigen encryptie bedacht, waarin onderzoekers van Citizen Lab verschillende kwetsbaarheden vonden. Deze beveiligingslekken maken het mogelijk voor aanvallers op het netwerk om alle toetsaanslagen van gebruikers in plaintext te achterhalen. Inmiddels zijn er voor zowel Android, iOS als Windows nieuwe versies van de app verschenen.

Wanneer gebruikers de app gebruiken en een Chinees karakter op het scherm tekenen, zal een cloudgebaseerde service suggesties voor een karakter doen als er geen suggesties in de lokale database zijn gevonden. Voor het beveiligen van het verkeer hebben de ontwikkelaars hun eigen encryptiesysteem bedacht. Onderzoekers van Citizen Lab ontdekten dat deze methode kwetsbaar is voor een CBC padding oracle-aanval. Daardoor kan een aanvaller de plaintext van versleuteld netwerkverkeer achterhalen en zo zien wat de gebruiker heeft getypt. In het geval van de Androidversie lukte het de onderzoekers ook om de tweede helft van de symmetrische sleutels te achterhalen die de app gebruikt voor het versleutelen van verkeer.

Onderzoekers van Citizen Lab waarschuwden internetgigant en ontwikkelaar Tencent op 31 mei voor de gevonden problemen. Er volgde geen reactie, waarop het probleem op 16 juni nogmaals werd gemeld. Op 25 juni ontvingen de onderzoekers een reactie dat de kwetsbaarheden eigenlijk geen probleem waren. Achttien uur later kwam Tencent daarop terug en liet weten dat de beoordeling verkeerd was. Het bedrijf was bezig met de kwetsbaarheid en riep de onderzoekers op het probleem niet openbaar te maken. Eind vorige maand verschenen er updates voor de app. Volgens Citizen Lab laat het onderzoek zien dat het belangrijk is dat ontwikkelaars bekende encryptiesystemen gebruiken en niet hun eigen crypto gaan bedenken.

 

bron: https://www.security.nl

Dit is een verouderd onderwerp. Heb je een gelijkaardige vraag? Start dan een nieuw topic in dit forumonderdeel aub.

Doe mee aan dit gesprek

Je kunt dit nu plaatsen en later registreren. Indien je reeds een account hebt, log dan nu in om het bericht te plaatsen met je account.

Gast
Reageer op dit topic

×   Geplakt als verrijkte tekst.   Plak in plaats daarvan als platte tekst

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.