Eerste misbruik van Android MasterKey-lek ontdekt
Onderzoekers hebben voor het eerst kwaadaardige Android-apps ontdekt die misbruik van het MasterKey-lek maken om smartphones en tablets met malware te infecteren. Eerder deze maand werd in zo'n 900 miljoen Android-toestellen een lek ontdekt waardoor aanvallers kwaadaardige code in legitieme Android-apps kunnen injecteren, zonder dat de digitale handtekening verandert.
Volgens Symantec is de kwetsbaarheid zeer eenvoudig te misbruiken en is het daardoor ook waarschijnlijk dat cybercriminelen dit zullen doen. Het anti-virusbedrijf heeft nu de eerste apps genaamd Android.Skullkey ontdekt die misbruik van het MasterKey-lek maken. Het gaat om twee legitieme applicaties die op een Chinese Android-marktplaats werden aangeboden.
Malware
De apps zijn bedoeld voor het maken van afspraken bij een dokter en als hulp bij het zoeken. De aanvaller heeft de apps voorzien van code waardoor hij gevoelige informatie zoals IMEI en telefoonnummers kan stelen, sms-berichten naar dure telefoonnummers kan sturen en verschillende Chinese mobiele virusscanners kan uitschakelen.
Symantec verwacht dat er nog meer apps zullen verschijnen die het lek misbruiken. Google heeft inmiddels een update uitgebracht, maar die moet nog door fabrikanten en telecomaanbieders worden uitgerold. Daarnaast scant de zoekgigant op dit moment alle apps op Google Play op dit probleem.
Verder heeft Bluebox Security, dat als eerste het lek ontdekte, een gratis app gemaakt die controleert of het Android-toestel in kwestie gepatcht is. Voor geroote smartphones is er daarnaast een onofficiële patch verschenen. Ook een aantal mobiele virusscanners kan de aanval inmiddels herkennen.
Mede vanwege dit gedoe, heb ik een klacht ingediend bij de Autoriteit Consument en Veiligheid via ConsuWijzer. De strekking van de klacht is dat fabrikanten en telecomaanbieders kwetsbaarheden in smartphones niet of pas zeer laat repareren. In veel gevallen leveren ze zelfs inherent onveilige toestellen. Ik geloof namelijk niet dat je momenteel een Android telefoon bij een Nederlandse telecomprovider kunt kopen waar dit probleem is opgelost.
Een enkele klacht is natuurlijk niet veel, maar als er meer klachten komen, zullen ze het moeten onderzoeken en eventueel de leveranciers hierop aanspreken.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
