Bijna alle Android-telefoons hebben datalek

Bijna alle telefoons met Google Android hebben een beveiligingslek. Daardoor kunnen onbekenden toegang krijgen tot je contacten, agenda en andere gegevens.

Onderzoekers aan de Duitse universiteit van Ulm hebben ontdekt dat het protocol ClientLogin de oorzaak van het probleem is. Hiermee kan een toepassing een authenticatie-token aanvragen bij Google door je accountnaam en wachtwoord op te geven. Het token dat Google geeft is twee weken geldig, maar wordt helaas onversleuteld verzonden.

Wanneer dat token wordt aangevraagd via een onbeveiligde verbinding, kan het worden onderschept en zo worden misbruikt om persoonlijke gegevens zoals je contacten, agenda of Picasa-webalbums te openen en bewerken.

[related_article id=”158578″]

Alle Androidtoetellen met versie 2.3.3 of ouder zijn gevoelig voor het probleem. De onderzoekers hebben het euvel kunnen vaststellen met onder meer de Nexus One (Android 2.1).

Onbeveiligde netwerken
Om het lek te misbruiken, kunnen criminelen een onbeveiligd netwerk opzetten en vervolgens het verkeer scannen. Omdat het token twee weken geldig is, kunnen ze zelfs ruim de tijd nemen om door je gegevens te gaan.

De onderzoekers raden gebruikers aan om zo snel mogelijk te updaten naar Android 2.3.4 of hoger. Al is dat in praktijk niet altijd mogelijk, omdat dergelijke updates vaak afhankelijk zijn van de operator of het land waar de telefoons worden verkocht.

Wie niet kan updaten, kan beter automatische synchronisatie uitschakelen als er een kans bestaat dat je in de buurt komt van onbeveiligde netwerken (waar je telefoon vervolgens automatisch verbinding zou maken).