29 mei 2015 09:47

Android apps met een klik gehackt door zwakke plek

Een serieus veilgheidsprobleem geeft hackers vrij spel bij sommige Android apps als slachtoffers op een kwaadaardige link klikken.

Een gaatje in de API-software van Apache Cordova maakt het mogelijk dat hackers met weinig moeite de controle over een Android app kunnen krijgen. Apache heeft dat zelf deze week toegegeven in een veiligheidsbulletin.

Door de zwakke plek kunnen hackers van op afstand met een applicatie rommelen als een slachtoffer op een kwaadaardige link klikt. Zodra dat is gebeurd, heeft de hacker vrij spel en kan hij design of functies van de app veranderen, naar eigen goeddunken pop-ups, splashscreens of reclame toevoegen of gewoon het programma laten crashen. Naar schatting 5,6% van alle apps in de Google Play store zijn opgebouwd met de Apache Cordova software en kwetsbaar.

Specifiek ligt de oorzaak van de zwakke plek bij een gebrek aan expliciete waarden ingesteld in het config.xml bestand van Android apps die gebouwd zijn met het Cordova framework. De kwetsbaarheid kan enkel worden geëxploiteerd onder bepaalde technische voorwaarden, maar die zijn “algemene praktijk bij app-ontwikkelaars”, aldus het TrendMicro Mobile Threat Research Team, dat de fout aan het licht bracht.

Apache zal nu zo vlug mogelijk een verbeterde versie uitbrengen van zijn API-software om die zwakke plek weg te werken en raadt aan om alle Android applicaties die werken op Cordova te upgraden.

Schrijf je in op onze nieuwsbrief en ontvang elke werkdag het beste uit de techwereld in je mailbox.

Android Beveiliging mobiel nieuws

Nina van Hoof

Nina’s internetleven draait op Windows en Android, haar muziek op een iPod en Spotify. Ze selecteert elke dag het nieuws dat je moet gelezen hebben en schrikt er niet voor terug om ook de zakelijke kant van IT te belichten.