image

Android API-lek pas na jaren op meeste toestellen gepatcht

vrijdag 12 juli 2019, 12:11 door Redactie, 0 reacties

Een beveiligingslek in een programmeerinterface (API) van Android waardoor advertenties in het ergste geval willekeurige code op toestellen kunnen uitvoeren is pas na jaren op de meeste Androidtoestellen verholpen, zo blijkt uit onderzoek.

De kwetsbaarheid werd in december 2012 ontdekt en bevindt zich in een API waar Android-apps gebruik van kunnen maken. Via het beveiligingslek is het mogelijk om kwaadaardige JavaScript-code in een WebView van een app uit te voeren, waardoor een aanvaller vervolgens kwaadaardige code met rechten van de app kan uitvoeren. "Dit kan vaak verder worden misbruikt om roottoegang te krijgen", aldus onderzoekers.

WebView is een onderdeel van Android voor het weergeven van webpagina's. Het is een los browservenster dat ontwikkelaars in hun apps kunnen toepassen en maakt het mogelijk om websites en pagina's binnen de schermlay-out van de applicatie weer te geven. In het geval van de kwetsbaarheid zou een aanvaller via een advertentie zijn code kunnen laten uitvoeren, zonder enige interactie van het slachtoffer.

De oplossing vereiste een update voor Android en dat alle apps op het toestel een nieuwere Android API ondersteunden. In 2015 voorspelden onderzoekers dat dit beveiligingslek pas in januari 2018 op 95 procent van alle Androidtoestellen zou zijn verholpen. Dit percentage werd echter al in mei 2017 gehaald. De meest recente data van mei 2019 laat zien dat inmiddels 98,2 procent beschermd is. "Desondanks had het verhelpen van dit aspect van de kwetsbaarheid meer dan 4 jaar nodig om 95 procent van de toestellen te bereiken", zegt onderzoeker Daniel Thomas.

Google kwam daarnaast met een aanvullende update in Android 4.4.3 om misbruik te voorkomen, ook bij apps die nog geen gebruik van een nieuwere API maakten. Deze update was in april 2019 op 95 procent van de Androidtoestellen geïnstalleerd. Volgens de onderzoekers laat dit voorbeeld de problematiek zien als meerdere partijen bij het verhelpen van een kwetsbaarheid zijn betrokken, waardoor kwetsbaarheden op toestellen soms jaren aanwezig kunnen blijven.

Image

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.