Tientallen Android-toestellen worden standaard met kwetsbare apps geleverd waar kwaadaardige apps weer misbruik van kunnen maken. Dat blijkt uit onderzoek van securitybedrijf Kryptowire dat 25 verschillende toestellen onderzocht en 38 kwetsbaarheden aantrof.

Het gaat onder andere om telefoons van Sony, Oppo, Nokia, LG, Asus en Alcatel, alsmede verschillende goedkope Chinese merken. Via de kwetsbaarheden kan een kwaadaardige app bijvoorbeeld alle sms-berichten stelen, verwijderen of aanpassen, screenshots maken, rechten verhogen, gebruikersgegevens wissen via een fabrieksreset, sms-berichten versturen en zelfs het apparaat onbruikbaar maken.

"Al deze kwetsbaarheden zijn standaard aanwezig", zegt Ryan Johnson van Kryptowire. "Dat is belangrijk omdat gebruikers alleen denken dat ze risico lopen als ze iets verkeerds downloaden." Een gebruiker moet echter nog steeds een kwaadaardige app downloaden die van de kwetsbare apps misbruik kan maken. Deze apps vereisen echter geen speciale rechten.

Een kwaadaardige app hoeft de gebruiker bijvoorbeeld niet te misleiden om toegang tot gespreksgegevens te krijgen. Het kan die gewoon stilletjes zonder medeweten of toestemming van de gebruiker verkrijgen. Het probleem wordt veroorzaakt doordat fabrikanten en telecomproviders de vrijheid hebben om zelf allerlei apps toe te voegen.

"Het probleem zal niet verdwijnen omdat veel mensen in de logistieke keten hun eigen applicaties en code willen kunnen toevoegen. Dat vergroot het aanvalsoppervlak en vergroot de kans op softwarefouten. Ze stellen de gebruiker bloot aan exploits en die kan er niets aan doen", aldus Angelos Stavrou van Kryptowire.

Verschillende fabrikanten laten tegenover CNet en Wired weten dat de gerapporteerde kwetsbaarheden zijn verholpen, terwijl andere nog met updates moeten komen.