Nieuws

Claim securitybedrijf: ‘900 miljoen Android-toestellen zijn hackbaar’

Securitybedrijf Bluebox Security zegt een gevaarlijk lek in Android te hebben gevonden dat 99 procent van de beschikbare apps in een gevaarlijk trojaans paard kan veranderen.

Jeff Forristal, directeur van Bluebox Security, legt in een technisch geörienteerde blogpost uit hoe de bewuste kwetsbaarheid gevaar oplevert. Volgens de beveiligingsman zouden apps zo kunnen worden aangepast dat ze gegevens kunnen stelen of zichzelf bij een botnet aansluiten, zonder dat de appwinkel, telefoon of gebruiker daar ooit iets van merkt.

“Deze kwetsbaarheid, die al tenminste aanwezig is sinds de lancering van Android 1.6, kan elke Android-telefoon treffen die in de afgelopen vier jaar is uitgekomen, ofwel 900 miljoen toestellen”, aldus Forristal.

[related_article id=”158901″]

Slordige cryptografie
Het probleem zit ‘m in de manier waarop Android-applicaties worden gevalideerd en geïnstalleerd. Elke app heeft een cryptografische signatuur om er voor te zorgen dat er niet is geknoeid met de inhoud. Door toedoen van de kwetsbaarheid is een cybercrimineel hier alsnog toe in staat, terwijl die signatuur intact blijft.

Het lijkt er op dat de kwetsbaarheid een simpele cryptografische ‘hash collision’-aanval is, die mogelijk wanneer is gekozen voor een pover hash-algoritme. Bluebox gaat echter niet dieper in op de exacte aard van de kwetsbaarheid.

“Deze kwetsbaarheid maakt het mogelijk om de code van een applicatie te veranderen zonder de cryptografische signatuur te beïnvloeden. Daardoor kan een kwaadwillende in wezen Android in de waan laten dat de app onveranderd is, zelfs als dat niet het geval is”, zegt Forristal.

Google zwijgt in alle talen
Bluebox Security zegt dat het Google al in februari van de zwakheid op de hoogte heeft gebracht en noemt als bewijs de toegewezen bugidentificatiecode 8219321. De Amerikaanse zoekmachine weigerde te bevestigen of het op de hoogte is van het bestaan van de kwetsbaarheid en wil ook niet zeggen of het daadwerkelijk contact heeft gehad met Bluebox.

De kwetsbaarheid komt in ieder geval niet voor in de problemenlijst van het Android Open Handset Alliance Project en de codes voor bugs komen hier niet boven de 57.000 stuks uit.

Als de claims van Bluebox blijken te kloppen, zou een herverpakte applicatie volledige toegang hebben tot het Android-systeem en alle geïnstalleerde applicaties.

Volgens het securitybedrijf kan dat allerlei narigheid tot gevolgen hebben, zoals het stelen van accountwachtwoorden, het plegen van telefoongesprekken en sturen van tekstberichten, het activeren van hardwareonderdelen als de camera en microfoon en, in een enkel extreem geval, het aankoppelen van toestellen bij een mobiel botnet.

Firmwareupdate nodig
Forristal zegt dat het repareren van het probleem de verantwoordelijkheid zal zijn van toestelbouwers als HTC en Samsung, omdat ze gedwongen zullen worden om firmwareupdates uit te brengen.

Gebruikers zullen ook op de hoogte gesteld moeten worden wanneer een dergelijke patch beschikbaar is, als er al eentje wordt uitgebracht.

Hoewel het niet duidelijk is in hoeverre Google heeft gereageerd op de claims van Bluebox Security, heeft het securitybedrijf al beloofd om de kwetsbaarheid tot in detail te laten zien tijdens beveiligingsbeurs Black Hat 2013.

Forristal belooft dat hij te zijner tijd online een uitleg zal publiceren over de methodes en zal links toevoegen naar relevante tools die nodig zijn voor de hack. 

appBeveiligingblack hatbluebox securitycryptografiegooglehackkwetsbaarheidlekmobielnieuwssmartphone

Gerelateerde artikelen

Volg ons

Gebruik je ecocheques bij Coolblue

Gebruik je ecocheques bij Coolblue

Producten bekijken