29 januari 2015 15:22

Google vindt Wifi Direct-lek in Android niet ernstig genoeg om te dichten

Google en Core Security zijn het niet eens over ernstigheid van een bug waarmee hackers sommige Androidtoestellen op afstand kunnen herstarten.

Android bevat een paar beveiligingsproblemen en Google gaat niks doen om deze te verhelpen. Het bedrijf geeft als reden dat een oplossing tot andere moeilijkheden kan leiden. Andere bugs worden nog niet aangepakt omdat ze ogenschijnlijk niet serieus genoeg zijn.

In die laatste categorie is deze week weer een bug opgedoken. Core Security meldde afgelopen september een probleem bij Google en heeft afgelopen maandag meer details gepubliceerd over de zwakke plek. Dit deed het bedrijf omdat het niet akkoord gaat met Googles inschatting van de kwetsbaarheid.

[related_article id=”158901″]

Wifi Direct

De gevonden bug manifesteert zich in Wifi Direct, een wifistandaard in Android die smartphones, gameconsoles, tablets en laptops in staat stelt direct met elkaar te verbinden. Core Security"s bekendmaking was de laatste stap in een geschil tussen beide organisaties of de bug als kritiek bestempeld dient te worden.

Volgens Core Security kan een hacker misbruik maken van de zwakke plek wanneer een smartphone scant voor andere apparaten met Wifi Direct. Een succesvolle aanval kan een herstart forceren of een "denial of service".

Niet ernstig

De eerste melding van de bug aan het veiligheidsteam van Android wordt op 26 september 2014 gedaan door Core Security. Google bevestigt dat het de melding in goede orde heeft ontvangen. Op dat moment zegt Core Security dat het op 20 oktober meer details over de bug wil publiceren.

Net voor die deadline vertelt het Android-veiligheidsteam dat de bug niet ernstig is en dat het niet weet wanneer het probleem verholpen zal worden. Core Security besluit nog even niets te publiceren in een poging Google te overtuigen dat de bug ernstiger is dan het team denkt. Dit heeft geen effect. Daarop waarschuwt het veiligheidsbedrijf dat het alsnog over gaat tot publicatie op 26 januari. Dat is inmiddels gebeurd.

Het is in de tussentijd duidelijk geworden dat een deel van de Androidapparaten last heeft van de bug, waaronder de Nexus 4 en Nexus 5 die nog draaien op Android 4.4.4 KitKat, en bepaalde toestellen die draaien op Android Jelly Bean . Toestellen met Android 5.0 Lollipop hebben geen last van de bug.

Een van de redenen dat de bug als niet ernstig wordt gezien, is dat apparaten met Wifi Direct niet constant aan het scannen zijn voor nieuwe verbindingen. Dit zegt Jon Oberheide van Duo Security tegen Threat Post. Hoewel hackers op afstand misbruik kunnen maken van de zwakke plek, moeten ze wel dichtbij genoeg zijn om het wifisignaal te ontvangen.