Lage beveiliging is misschien wel een van de meest bekende en bekende gebreken van Android. Het is algemeen aanvaard dat Google absoluut geen controle heeft over de software die Google Play binnenkomt, updates negeert en in het algemeen de kwetsbaarheden in het besturingssysteem niet oplost. Het grootste probleem van Google is echter het onvermogen van het bedrijf om strikte regels vast te stellen en degenen die de Android-beveiliging echt kunnen beïnvloeden, te dwingen enige actie te ondernemen, ongeacht hun bekendheid of autoriteit.
Gebruikers van tienduizenden Android-apps zijn blootgesteld aan identiteitsdiefstal vanwege een kwetsbaarheid in de Play Core-bibliotheek. Dit is een van de belangrijkste bibliotheken die worden gebruikt bij softwareontwikkeling. Het vormt de kern van de meeste applicaties die via Google Play worden verspreid en dient om hen in staat te stellen te communiceren met de catalogus. Het is bijvoorbeeld op basis van Play Core dat een dialoog werkt met een verzoek om het programma te evalueren zonder naar Google Play te gaan. Over het algemeen enigszins handig, maar niet het belangrijkste, dat echter ook moet worden bijgewerkt.
Gevaarlijke Android-apps
Volgens cyberbeveiligingsexperts van Check Point zijn er ongeveer 8% van alle apps die een verouderde versie van de Play Core-bibliotheek gebruiken die gevoelige gegevens kan stelen, zoals tweefactorauthenticatiecodes en kan bijdragen aan goedaardige software-infecties. Gezien de breedte van het assortiment van Google Play is het duidelijk dat dit best veel is. We zullen alleen de meest bekende applicaties vermelden die getroffen zijn door de beschreven kwetsbaarheid:
ViberBookingAlohaWalla! SportXRecorderMoovitHamalIndiaMARTEDGEGrindrYango ProPowerDirectorOkCupidTeamsBumble
Als je bekende namen in deze top tien van apps ziet, ga er dan niet vanuit dat ze nep zijn voor de services die je gebruikt. In feite is dit wat ze zijn. Viber Messenger, de hotelreserveringsservice van Booking.com, Microsoft’s Edge-browser en andere vormen een echte bedreiging voor u, uw gegevens en uw apparaat.
Google play-problemen
Het is duidelijk dat de schuld voor het gevaar van de applicaties bij de ontwikkelaars ligt, die geen haast hebben met het updaten van de Play Core-bibliotheek, de basis van hun product. Eigenlijk is alles zo. Google kan immers niet de app van iemand anders gebruiken en met de inhoud ervan rotzooien om een kritieke kwetsbaarheid op te lossen als de ontwikkelaars het zelf niet willen repareren. Google kan ontwikkelaars echter dwingen hun applicatiebibliotheken bij te werken, waarbij kritieke kwetsbaarheden erin worden opgelost binnen een periode van maximaal 90 dagen, wat wordt geaccepteerd door cyberbeveiligingsonderzoekers.
Maar er is hier een moreel conflict. De kwetsbaarheid die de ontwikkelaars moeten repareren, is immers niet door hen gemaakt, maar door Google, die zich overigens soms ook de deadline voor het repareren ervan laat verpesten. Daarom zou het enigszins hypocriet van hen zijn om de makers van de software, die wordt gehost op Google Play, niet alleen te dwingen de kwetsbaarheid te verhelpen, maar ook om de deadlines te halen die zijn vastgesteld door een onbekende persoon. Een ander ding is waarom Google hier helemaal niets om geeft?
Naar mijn mening is het volkomen logisch om van ontwikkelaars te eisen dat ze kwetsbaarheden binnen een redelijke tijd repareren, zelfs als ze zijn ontstaan door een indirecte storing van Google. En hoe het eruit zal zien voor ontwikkelaars, het maakt niet uit. Als we het hebben over de veiligheid van miljoenen gebruikers – en in dit geval is dat zo – hoef je alleen maar naleving van de regels te eisen en de applicaties van die onderzoeken die zich niet aan de regels houden, uit Google Play te verwijderen. In dit geval zullen ontwikkelaars Google met respect gaan behandelen en zullen gebruikers vertrouwen hebben in Android.
