Onderzoekers van Microsoft en een Amerikaanse universiteit hebben zes lekken in Android ontdekt, waardoor het updaten van het mobiele besturingssysteem een backdoor voor malware opent. Het probleem ontstaat bij het updaten van Android naar een nieuwere versie.
Een al geïnstalleerde kwaadaardige app, die de gebruiker bij de installatie nauwelijks om rechten en permissies vroeg, kan bij het updaten onder andere automatisch alle nieuwe permissies krijgen die door de nieuwere versie van het besturingssysteem worden toegevoegd. Ook is het bijvoorbeeld mogelijk dat de app zich permissies toe-eigent om voicemail, inloggegevens, gespreksgeschiedenis en andere gevoelige data te benaderen.
Ook kan de malware systeemapplicaties door kwaadaardige apps vervangen, kwaadaardige scripts in willekeurige pagina's injecteren en voorkomen dat de gebruiker systeemapplicaties zoals Google Play Services installeert. De onderzoekers noemen het ontdekte probleem "Pileup", wat staat voor privilege escalation through updating.
In totaal zijn er zes verschillende van deze kwetsbaarheden aanwezig in alle officiële en meer dan 3.500 door Samsung, LG en HTC aangepaste versies van het Android-besturingssysteem. Volgens de onderzoekers vormt dit een serieuze bedreiging voor miljarden Android-gebruikers, die normaal juist worden aangemoedigd om hun systemen te updaten.
Op 14 oktober vorig jaar rapporteerden de onderzoekers de zes problemen aan Google. Op 8 januari liet Google weten dat het een patch voor één van de lekken had uitgebracht. Wanneer deze update door andere leveranciers wordt uitgerold is echter onbekend. Dat geldt ook voor de oplossing van de overige vijf problemen. Daarnaast stellen de onderzoekers dat zelfs als de lekken gepatcht zijn, het nog heel lang kan duren voordat Android-gebruikers de update installeren, zoals ook blijkt uit de meest recente versie van Android. Die verscheen in oktober, maar heeft bijna vijf maanden later slechts een marktaandeel van 2,5%.
Als bewijs maakten de onderzoekers deze twee video's. Ook hebben ze een paper gepresenteerd en deze website online gezet die meer informatie over het probleem geven. Daarnaast zullen ze het onderzoek tijdens het 35ste IEEE Symposium over Security en Privacy presenteren. In de tussentijd krijgen gebruikers het advies de Secure Update Scanner te gebruiken, een door de onderzoekers ontwikkelde app die op kwaadaardige apps scant die het update-proces kunnen aangrijpen om het toestel aan te vallen.
Deze posting is gelocked. Reageren is niet meer mogelijk.