Google verhelpt Fake ID-lek in Android
Bluebox Security, een bedrijf gespecialiseerd in mobile security, heeft een gevaarlijk lek in Android aan het licht gebracht dat aanwezig is op alle versies sinds Android 2.1. Google werd op de hoogte gebracht en heeft intussen een patch beschikbaar gemaakt.
Het lek, dat Fake ID werd gedoopt, kan door een malware-app worden misbruikt om zich als een reeds vertrouwde applicatie voor te doen. De malware kan zich via het lek meer rechten toeëigenen, zonder medeweten van de gebruiker. Op die manier kan onder meer toegang tot betaalgegevens van de gebruiker of de instellingen van het toestel worden verkregen.
[related_article id=”158901″]
Volgens BlueBox komt het lek voort uit een probleem met de Android package installer. Dat is het deel van het besturingssysteem dat instaat voor de installatie van apps. Applicaties beschikken over een beveiliginscertificaat, waarvan de authenticiteit door de package installer moet worden gecontroleerd. Dat gebeurt echter niet correct, waardoor malafide certificaten kunnen laten uitschijnen dat ze door een vertrouwde partij – zoals bijvoorbeeld Google of Adobe – worden uitgegeven, terwijl dat helemaal niet het geval is.
Google werd in april op de hoogte gebracht van het lek en heeft tegenover de BBC bevestigd dat het ondertussen een patch heeft uitgerold naar zijn partners en via het Android Open Source Project. Het is niet helemaal duidelijk welke toestellen de patch reeds hebben ontvangen, maar een snelle steekproef op de redactie leert ons dat apparaten die draaien op Android 4.4.2 of hoger alvast gepatcht zijn. Je kan zelf nagaan of jouw toestel gepatcht is door de Bluebox Security Scanner te installeren.
Maar zelfs als jouw toestel nog niet gepatcht is, betekent dat gelukkig niet dat je onbeschermd bent. Google heeft een tijd geleden Google Play Services geïntroduceerd om snel nieuwe functies naar alle Androidapparaten te kunnen uitrollen, ongeacht op welke Androidversie ze draaien. Zo werd onder meer de functionaliteit “Apps verifiëren” toegevoegd om apps te scannen op malware voordat ze geïnstalleerd worden. Google heeft die functionaliteit geüpdatet om gebruikers tegen het Fake ID-lek te beschermen. Op die manier werd het probleem snel in de kiem gesmoord, ook al is het lek nog niet op elk toestel gepatcht. Volgens Google werd het lek niet in het wild misbruikt.