Mobiele Android-gebruikers die hun apps downloaden van de Google Play Store hebben er het volste vertrouwen in dat de items die ze krijgen legitiem zijn en vrij zijn van achterdeuraanvallen, vooral omdat Google onlangs een beoordelingsteam heeft gevormd om de apps te onderzoeken. Maar een nieuwe aanvalsmethode, hoewel onzichtbaar in de echte wereld, zou je legitieme app kunnen veranderen in malware die volgens een beveiligingsonderzoeker de helft van de Android-apparaten wereldwijd zou kunnen compromitteren.
Zhi Xu, een senior engineer bij Palo Alto Networks, ontdekte het potentieel van de aanval op basis van een hypothetische studie die aantoont dat legitieme apps van Google Play een toegangspunt op een Android-apparaat kunnen creëren voor een andere app uit app-stores van derden. Deze applicatie van een externe bron kan de legitieme Google Play-applicatie toegang geven tot een breed scala aan gegevens, waaronder gebruikersnamen, wachtwoorden en andere gevoelige gegevens.
Volgens de bevindingen van Xu kan deze aanvalsmethode aanvallers helpen om stiekem met apps te knoeien, zonder dat de eigenaar van de telefoon het merkt. Het wordt een stille kapingstechniek genoemd, waarmee een hacker de echte app die u downloadt van Google Play kan vervangen door een andere app die waarschijnlijk malware bevat.
App store-serviceproviders zoals Google en Amazon vinden al een oplossing voor de kwetsbaarheid. Gebruikers kunnen er ondertussen iets aan doen. Beveiligingsexperts raden aan om te updaten naar nieuwere versies van Android OS zoals Android 4.4 en hoger om het probleem voor eens en voor altijd op te lossen.
Volgens Xu is de PackageInstaller die wordt gebruikt om Android-apps op apparaten te installeren, de oorzaak van het probleem. Het installatieprogramma bevat een soort kwetsbaarheid, de zogenaamde time-of-use-verificatietijd, die een kaper kan gebruiken om legitieme applicaties te vervangen door kwaadaardige applicaties, omdat PackageInstaller in oudere versies van Android het APK-bestand niet verifieert op het moment van gebruik.
Gelukkig werkt de aanval echter alleen wanneer een app wordt gedownload en opgeslagen op een onbeveiligde ruimte, in dit geval op bestandssystemen buiten de perimeter van Google Play. Dus de techniek van de kaper is nu duidelijk, ze zouden eerst proberen om een schijnbaar veilige app te installeren en vervolgens een kwaadaardige app starten zodra ze apps detecteren die zijn geïnstalleerd van externe bronnen. Dit gebeurt tijdens het installatieproces, een zeer subtiele manier om elke vorm van detectiemethode van de kant van de gebruiker te omzeilen, die willekeurig toestemming geeft wanneer daarom wordt gevraagd.
Als u nog steeds Android 4.1 of eerder gebruikt, update dan indien mogelijk naar de nieuwste versie om dit type aanval te voorkomen.
