image

900 miljoen Android-phones lek door 'meestersleutel'

donderdag 4 juli 2013, 10:03 door Redactie, 9 reacties

Een beveiligingslek in het Android beveiligingsmodel zorgt ervoor dat 99% van alle toestellen die in de afgelopen vier jaar zijn verschenen, wat neerkomt op 900 miljoenen apparaten, gehackt kan worden. De ontdekking werd gedaan door onderzoekers van Bluebox Security. Door de kwetsbaarheid kan een aanvaller de APK-code aanpassen, zonder dat de digitale handtekening verandert.

Hierdoor is het mogelijk om kwaadaardige updates naar legitieme Android-applicaties te sturen, zonder dat dit door de appwinkel, telefoon of gebruiker wordt opgemerkt. "De gevolgen zijn gigantisch", zo laat Bluebox Security op de eigen website weten. De kwetsbaarheid zou sinds de lancering van Android 1.6, met de codenaam Donut, aanwezig zijn.

Het probleem wordt vergroot door de applicaties van fabrikanten als HTC, Samsung, Motorola en LG, die met verhoogde rechten werken. In dit geval kan een kwaadaardige update volledige controle over het Android-toestel krijgen en zaken als wachtwoorden stelen, gesprekken afluisteren en sms-berichten onderscheppen.

Manipulatie
Het probleem wordt veroorzaakt in verschillen in de manier waarop Android-apps cryptografisch worden geverifieerd en geïnstalleerd. Daardoor is het mogelijk om de APK-code aan te passen, zonder dat de digitale handtekening wordt veranderd. Een digitale handtekening zou moeten garanderen dat de code niet is aangepast, maar dat blijk in het geval van Android niet op te gaan.

Alle Android-applicaties bevatten cryptografische handtekeningen, waarmee Android kan bepalen of de app of update legitiem is en niet is aangepast of gemanipuleerd. Door het nu ontdekte lek kan een aanvaller Android laten geloven dat de app niet is aangepast, terwijl dit wel het geval is.

De kwetsbaarheid, die tijdens de Black Hat conferentie in Las Vegas wordt gedemonstreerd, is in februari aan Google gerapporteerd. Het is aan fabrikanten om firmware-updates voor alle mobiele toestellen uit te rollen, en vervolgens aan gebruikers om die te installeren, aldus Bluebox Security. Wanneer deze updates verschenen ligt aan de fabrikanten en het toestel in kwestie.

Reacties (9)
04-07-2013, 10:29 door [Account Verwijderd]
Klinkt heel erg gevaarlijk, zeker als je bedenkt dat relatief oude telefoons nog steeds gebruikt worden en fabrikanten deze niet updaten
04-07-2013, 10:32 door WhizzMan
Lekker weer. Hopelijk doen de fabrikanten nu netjes en updaten ze alles, zelfs de oude meuk. Als dat niet zo is, denk ik dat we toch eens een keertje de overheid dit moeten laten verplichten, want dit is wel een heel groot lek.
04-07-2013, 11:09 door Anoniem
Updaten zou mooi zijn. Probleem heb je niet als je via de Play Store apps installeert. Daardoor voor mij niet relevant.
04-07-2013, 11:27 door [Account Verwijderd]
[Verwijderd]
04-07-2013, 11:47 door Anoniem
Apps die je netjes via de Play Store installeert, kunnen zelf ook updates van andere plekken ophalen en dan is het weer gewoon relevant. Jammer joh.
04-07-2013, 13:27 door Anoniem
Tijd voor de oude Nokia.
04-07-2013, 14:02 door Anoniem
@ anoniem 11:09

Er is een recente vulnerability ontdekt en u gelooft dat u veilig bent als u een platform gebruikt waarop het nog niet ontdekt was? Nu ze bekend is kunnen ze kijken welke apps mogelijk zo een vulnerability misbruiken, maar voor zover u zou weten, is een app die u al sinds uw eerste smartphone staan hebt daar al zolang van gebruik aan het maken.

Enige kennis van zaken is misschien handig om te bepalen of het relevant is in uw geval.
04-07-2013, 14:25 door Anoniem
@Anoniem 11:09
Ook voor jou relevant hoor. Ik weet niet of je het hebt gelezen, maar dit geldt voor alle apps, dus ook uit de Play Store. Mensen kunnen die updates ook aanpassen zonder dat je dit merkt en dan ben je ook de klos!
04-07-2013, 14:27 door Anoniem
Allemaal leuk en aardig, maar hoe komt die "aangepaste" app of update dan op mijn telefoon? Als ik alleen uit de Play Store download, kunnen alleen de ontwikkelaars van de apps de updates uitbrengen en als ik die installeer krijg ik niet ineens toch op magische wijze de "aangepaste" code :/

Zo groot is de dreiging dus volgens mij niet...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.