900 miljoen Android-phones lek door 'meestersleutel'
Een beveiligingslek in het Android beveiligingsmodel zorgt ervoor dat 99% van alle toestellen die in de afgelopen vier jaar zijn verschenen, wat neerkomt op 900 miljoenen apparaten, gehackt kan worden. De ontdekking werd gedaan door onderzoekers van Bluebox Security. Door de kwetsbaarheid kan een aanvaller de APK-code aanpassen, zonder dat de digitale handtekening verandert.
Hierdoor is het mogelijk om kwaadaardige updates naar legitieme Android-applicaties te sturen, zonder dat dit door de appwinkel, telefoon of gebruiker wordt opgemerkt. "De gevolgen zijn gigantisch", zo laat Bluebox Security op de eigen website weten. De kwetsbaarheid zou sinds de lancering van Android 1.6, met de codenaam Donut, aanwezig zijn.
Het probleem wordt vergroot door de applicaties van fabrikanten als HTC, Samsung, Motorola en LG, die met verhoogde rechten werken. In dit geval kan een kwaadaardige update volledige controle over het Android-toestel krijgen en zaken als wachtwoorden stelen, gesprekken afluisteren en sms-berichten onderscheppen.
Manipulatie
Het probleem wordt veroorzaakt in verschillen in de manier waarop Android-apps cryptografisch worden geverifieerd en geïnstalleerd. Daardoor is het mogelijk om de APK-code aan te passen, zonder dat de digitale handtekening wordt veranderd. Een digitale handtekening zou moeten garanderen dat de code niet is aangepast, maar dat blijk in het geval van Android niet op te gaan.
Alle Android-applicaties bevatten cryptografische handtekeningen, waarmee Android kan bepalen of de app of update legitiem is en niet is aangepast of gemanipuleerd. Door het nu ontdekte lek kan een aanvaller Android laten geloven dat de app niet is aangepast, terwijl dit wel het geval is.
De kwetsbaarheid, die tijdens de Black Hat conferentie in Las Vegas wordt gedemonstreerd, is in februari aan Google gerapporteerd. Het is aan fabrikanten om firmware-updates voor alle mobiele toestellen uit te rollen, en vervolgens aan gebruikers om die te installeren, aldus Bluebox Security. Wanneer deze updates verschenen ligt aan de fabrikanten en het toestel in kwestie.
Er is een recente vulnerability ontdekt en u gelooft dat u veilig bent als u een platform gebruikt waarop het nog niet ontdekt was? Nu ze bekend is kunnen ze kijken welke apps mogelijk zo een vulnerability misbruiken, maar voor zover u zou weten, is een app die u al sinds uw eerste smartphone staan hebt daar al zolang van gebruik aan het maken.
Enige kennis van zaken is misschien handig om te bepalen of het relevant is in uw geval.
Ook voor jou relevant hoor. Ik weet niet of je het hebt gelezen, maar dit geldt voor alle apps, dus ook uit de Play Store. Mensen kunnen die updates ook aanpassen zonder dat je dit merkt en dan ben je ook de klos!
Zo groot is de dreiging dus volgens mij niet...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
