Een beveiligingslek dat in de meeste versies van Android aanwezig is maakt het mogelijk voor malware om kwaadaardige code in allerlei apps te injecteren, waardoor aanvallers gevoelige gegevens kunnen stelen en het toestel zelfs kunnen overnemen, zo waarschuwt beveiligingsbedrijf BlueBox.
Het probleem wordt veroorzaakt door een ontwikkelaarscertificaat van Adobe Systems dat op de meeste Android-toestellen standaard is geïnstalleerd. Om een Android-app te kunnen installeren moet het digitaal gesigneerd zijn. Apps mogen hiervoor een zelf-gesigneerd certificaat gebruiken. Android bevat echter een aantal vaste certificaten van verschillende ontwikkelaars, waardoor apps van deze ontwikkelaars speciale toegang en rechten binnen het besturingssysteem krijgen.
Eén van deze certificaten is van Adobe en geeft apps die ermee gesigneerd zijn de mogelijkheid om code in andere geïnstalleerde apps te injecteren. Dit zou het bijvoorbeeld mogelijk maken dat andere geïnstalleerde apps Adobe's Flash Player plug-in gebruiken. Het nu ontdekte probleem is dat Android in deze gevallen niet controleert of het certificaat dat is gebruikt om een app mee te signeren ook daadwerkelijk van Adobe afkomstig is.
Een aanvaller zou hierdoor een kwaadaardige app kunnen signeren met een certificaat dat door het certificaat van Adobe gesigneerd lijkt te zijn, maar dat in werkelijkheid niet is. De kwaadaardige app krijgt echter wel de mogelijkheden die het Adobe-certificaat biedt. Hierdoor is het mogelijk om code aan apps toe te voegen en toegang tot de gegevens van de apps te krijgen.
De aanval werkt echter alleen tegen apps die WebView gebruiken. WebView is een los browservenster dat ontwikkelaars aan hun apps kunnen toevoegen. Het maakt het mogelijk om websites en pagina's binnen de schermlay-out van de applicatie weer te geven. In Android 4.4 (KitKat) is het WebView-onderdeel op de Chromium-browser gebaseerd en zou niet meer kwetsbaar voor de aanval zijn.
Uit cijfers van Google blijkt echter dat 82% van de Android-toestellen nog een kwetsbare versie draait. Tijdens de Blackhat conferentie in Las Vegas zullen onderzoekers van BlueBox meer details over de aanval geven.
Deze posting is gelocked. Reageren is niet meer mogelijk.