Een beveiligingslek in het Android beveiligingsmodel zorgt ervoor dat 99% van alle toestellen die in de afgelopen vier jaar zijn verschenen, wat neerkomt op 900 miljoenen apparaten, gehackt kan worden. De ontdekking werd gedaan door onderzoekers van Bluebox Security. Door de kwetsbaarheid kan een aanvaller de APK-code aanpassen, zonder dat de digitale handtekening verandert.
Hierdoor is het mogelijk om kwaadaardige updates naar legitieme Android-applicaties te sturen, zonder dat dit door de appwinkel, telefoon of gebruiker wordt opgemerkt. "De gevolgen zijn gigantisch", zo laat Bluebox Security op de eigen website weten. De kwetsbaarheid zou sinds de lancering van Android 1.6, met de codenaam Donut, aanwezig zijn.
Het probleem wordt vergroot door de applicaties van fabrikanten als HTC, Samsung, Motorola en LG, die met verhoogde rechten werken. In dit geval kan een kwaadaardige update volledige controle over het Android-toestel krijgen en zaken als wachtwoorden stelen, gesprekken afluisteren en sms-berichten onderscheppen.
Manipulatie
Het probleem wordt veroorzaakt in verschillen in de manier waarop Android-apps cryptografisch worden geverifieerd en geïnstalleerd. Daardoor is het mogelijk om de APK-code aan te passen, zonder dat de digitale handtekening wordt veranderd. Een digitale handtekening zou moeten garanderen dat de code niet is aangepast, maar dat blijk in het geval van Android niet op te gaan.
Alle Android-applicaties bevatten cryptografische handtekeningen, waarmee Android kan bepalen of de app of update legitiem is en niet is aangepast of gemanipuleerd. Door het nu ontdekte lek kan een aanvaller Android laten geloven dat de app niet is aangepast, terwijl dit wel het geval is.
De kwetsbaarheid, die tijdens de Black Hat conferentie in Las Vegas wordt gedemonstreerd, is in februari aan Google gerapporteerd. Het is aan fabrikanten om firmware-updates voor alle mobiele toestellen uit te rollen, en vervolgens aan gebruikers om die te installeren, aldus Bluebox Security. Wanneer deze updates verschenen ligt aan de fabrikanten en het toestel in kwestie.
Deze posting is gelocked. Reageren is niet meer mogelijk.