Een kwetsbaarheid in de Google Play Store maakt het voor kwaadwillenden mogelijk om op afstand automatisch apps uit de store op de toestellen van Androidgebruikers te installeren. Het probleem wordt veroorzaakt doordat het Google Play-domein geen X-Frame-Options (XFO) ondersteunt.
Een kwaadaardige gebruiker kan vervolgens via Cross-Site Scripting (XSS) in een bepaald deel van de Google Play webapplicatie, of via Universal XSS (UXSS), op afstand een willekeurige app uit Google Play installeren en starten. Volgens Todd Beardsley van beveiligingsbedrijf Rapid7 worden veel versies van Android 4.3 (Jelly bean) en eerder met browsers geleverd die kwetsbaar voor UXSS zijn.
Daarnaast is er de mogelijkheid dat gebruikers zelf een kwetsbare browsers hebben geïnstalleerd. Gebruikers die zich tegen het probleem willen beschermen krijgen dan ook het advies een browser te gebruiken waar niet regelmatig UXSS-kwetsbaarheden in worden aangetroffen, zoals Google Chrome, Mozilla Firefox of de Dolphin Browser. Een andere oplossing is niet ingelogd te zijn op een Google-account tijdens het surfen.
Het probleem werd op 12 december vorig jaar aan Google gerapporteerd. Er wordt echter geen melding gemaakt of de kwetsbaarheid ook is verholpen. Rapid7 heeft wel een module voor Metasploit gemaakt om de kwetsbaarheid te demonstreren. Metasploit is een framework voor het testen van de veiligheid van systemen. De nu verschenen module combineert twee kwetsbaarheden om willekeurige code op Androidtoestellen uit te voeren.
Eerst maakt de module gebruik van een UXSS-lek in de standaard Androidbrowser, alsmede verschillende andere browsers, op Android 4.3 en ouder. Daarnaast handhaaft de Google Play webinterface geen X-Frame-Options en is daardoor kwetsbaar voor scriptinjectie. Het eindresultaat is het op afstand uitvoeren van code via Google Play's feature om op afstand apps te installeren. Een aanvaller kan zodoende elke willekeurige op in de Play-store installeren en starten.
Deze posting is gelocked. Reageren is niet meer mogelijk.