Ook mobiele telefoon kwetsbaar voor lek

Het veiligheidsprobleem op internet is nog groter geworden. Het 'slotje' in de adresbalk van beveiligde websites blijkt niet alleen gekraakt op gewone computers. Het lek dat zich deze week openbaarde in een van de meest gebruikte versleutelingsmethoden op internet, OpenSSL, maakt ook miljoenen mobiele telefoons en netwerkapparatuur zoals routers, switches en firewalls kwetsbaar voor aanvallen van hacker.

AMSTERDAM - De weeffout in deze apparaten is moeilijker te verhelpen dan de websites die met hetzelfde mankement kampen.


De Amerikaanse inlichtingendienst NSA wist volgens bronnen van het persbureau Bloomberg al zeker twee jaar lang dat er een groot lek zat in de beveiliging van websites. De NSA zou gebruik hebben gemaakt van dat lek om gevoelige informatie te verzamelen. Dat hebben twee mensen die met de zaak bekend zijn tegen Bloomberg gezegd. De NSA kwam gisteravond met een ontkenning van het bericht.


De afgelopen dagen werd duidelijk dat tot 60 procent van alle websites OpenSSL gebruiken om beveiligde verbinding op te zetten met de browsers van eindgebruikers. Op die manier kunnen die zonder pottenkijkers elektronische betalingen doen (zoals via het systeem iDeal) en vertrouwelijke gegevens op internet zetten.


De bug beïnvloedt een specifiek onderdeel van OpenSSL, Heartbleed genoemd. Het is een stukje software dat signalen naar een website stuurt, om te zien of die online is en informatie goed ontvangt. Door de weeffout kunnen hackers valse 'klopsignalen' sturen, waarna de websites de gegevens terugsturen die op dat moment in het geheugen zitten van de computer waarop de website draait. Die gegevens kunnen vertrouwelijke informatie bevatten, zoals wachtwoorden en pincodes.


Beveiligingsdeskundigen noemen de OpenSSL-bug verreweg de grootste ramp die het internet in twintig jaar is overkomen. 'Dit is zoiets als ontdekken dat de airbags in je auto niet werken. Elke auto met een airbag heeft dan hetzelfde probleem', stelt Rafal Rohozinsky, topman van de Canadese cyberdenktank SecDev Group.


'Op een schaal van 1 tot 10 is dit een 11', zegt Bruce Schneier, een van de meest vooraanstaande veiligheidsexperts ter wereld. Dat het probleem nu ook de kop opsteekt op mobieltjes en netwerkapparatuur maakt de toestand nog zorgwekkender, vindt de Amerikaan.


Een snelle remedie tegen de bug in routers en firewalls is er volgens hem niet, of het moet de vervanging van de kwetsbare apparaten zijn. 'De snelste manier van upgraden vergt een vuilnisbak, een creditcard en bezoekje aan de computerwinkel.'


De grootste fabrikanten van netwerkapparatuur - Cisco, Juniper en Palo Alto - hebben toegegeven dat de weeffout in een deel van hun producten voorkomt.


Google heeft erkend dat een specifieke versie van Android - het besturingssysteem voor mobiele telefoons en tablets - vatbaar is voor het Heartbleed-manco. Het gaat om versie 4.1.1, die in 2012 een paar maanden achtereen is geïnstalleerd op nieuwe toestellen en als upgrade is gebruikt voor oudere. Google geeft geen gedetailleerde informatie over hoeveel toestellen met deze variant zijn uitgerust, maar volgens zijn statistieken draait 34 procent van alle Android-apparaten 4.1 of hoger.


Om het lek te verhelpen moeten de fabrikanten van de toestellen een update aanbieden, meldt Google. Look, een specialist in de beveiliging van mobiele telefoons, heeft een app uitgebracht waarmee eindgebruikers kunnen controleren welke versie van OpenSSL ze hebben. De Heartbleed Detector is te downloaden via Google Play.


EHBO bij Heartbleed


Consumenten kunnen niets beginnen tegen de Heartbleed-bug. Het is een manco dat alleen de beheerders van websites kunnen verhelpen. Tot dat gebeurt heeft het geen zin je wachtwoord te veranderen. Doe je dat voordat het gat is gedicht, dan kunnen 'meeluisterende' hackers je nieuwe wachtwoord onderscheppen. De meeste grote websites en bedrijven lijken het lek te hebben gerepareerd. Een probleem is dat niet alleen de bug moet zijn verholpen, maar een website opnieuw moet worden gecertificeerd.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden