17 oktober 2023 16:49

Klembord Android 14 blijkt eenvoudig te misbruiken

Hackers kunnen via kwaadaardige apps eenvoudig data van het Android-klembord kopiëren. Tot die conclusie komt Android-onderzoeker Alexey Verkhovsky.

Verkhovsky nam voor zijn onderzoek het klembord van Android 14 onder de loep. De onderzoeker stelt dat het klembord in Android nog altijd onvoldoende is beveiligd. Sinds Android 12 toont het OS weliswaar een zogeheten ‘toast’ – een melding die kort op het scherm verschijnt – als apps data van het klemboard kopiëren, maar die melding blijkt eenvoudig te omzeilen.

Allereerst zijn systeemapps uitgezonderd van de maatregel. Zulke apps kunnen de melding voor het kopiëren vanaf het klembord onderdrukken. Ook kunnen systeemapps in het algemeen de weergave van klembordmeldingen aanpassen. Hoewel systeemapps meestal afkomstig zijn van het merk dat je telefoon of tablet ontwikkelde, is dat lang niet altijd zo. Het komt hierdoor ook regelmatig voor dat – met name Chinese – telefoons systeemapps met malware meegeleverd krijgen.

Die apps krijgen hierdoor toegang tot je klembord en alle data die daarop staan. Gezien zulke apps de klembordmelding kunnen wijzigen, gaat dit ook nog eens ongezien.

Klembordmelding verbergen

Apps die geen systeemtoegang hebben, tonen standaard wel zulke meldingen. Verkhovsky claimt dat malafide apps daar reeds een oplossing voor hebben bedacht. Ze maken hierbij gebruik van de toestemming om informatie over andere apps heen te projecteren. Die toestemming wordt onder meer gebruikt door Facebook voor zijn Messenger-bubbels, maar dus ook door criminelen.

De functie laat ze namelijk de toast verbergen. Dat heeft wel enige voeten in de aarde, blijkens de beelden die de onderzoeker heeft gedeeld. Omdat de toast doorzichtig is, blijft hij zichtbaar als een app over de melding heen projecteert. Na enkele lagen toe te hebben gevoegd weet Verkhovsky de toast compleet te verbergen. Hiermee kunnen malafide apps alsnog ongezien hun gang gaan.

Klembord Android 14 — *© Alexey Verkhovsky*

Samsung zou dit probleem intussen hebben opgelost. In de nieuwste One UI-bètaversie is het niet mogelijk om over de toast-melding heen te projecteren. Een oplossing voor de vanilla versie van het OS, is nochtans niet in zicht.

Oplossing uit iOS

Wat ons betreft zou Google gerust Apple’s oplossing voor het probleem mogen implementeren. In iOS moeten apps namelijk vragen of ze data uit je klembord mogen kopiëren. Hierdoor kunnen apps niet ongezien gevoelige data, waaronder mogelijk ook wachtwoorden, kopiëren.

Schrijf je in op onze nieuwsbrief en ontvang elke werkdag het beste uit de techwereld in je mailbox.

Android 14 Beveiliging mobiel

Jeffrey van de Velde

Als gepassioneerd technologiejournalist duikt Jeffrey dagelijks met een kritische blik in het laatste nieuws over smartphones, telecommunicatie, hardware en elektrische fietsen. Hoe sneller de evoluties in de techwereld gaan, hoe beter, vindt hij.